Last modified: Mon Aug 25 15:17:11 2008 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 OpenSSH 4.9 がリリースされています。iida さん情報ありがとうございます。OpenSSH 4.8 は OpenBSD でのみリリースされた (portable 版がない) そうです。 リリースノート。
Security:
* Disable execution of ~/.ssh/rc for sessions where a command has been forced by the sshd_config ForceCommand directive. Users who had write access to this file could use it to execute abritrary commands. This behaviour was documented, but was an unsafe default and an extra hassle for administrators.
機能向上もいろいろついています。リリースノート参照。
》 IFRAME攻撃,USAToday.comなど主要なWebサイトが続々とターゲットに (日経 IT Pro, 3/31)。一流企業も続々ヤラレているようです。
》 基本計画検討委員会 第4回会合(平成20年3月19日) (NISC, 3/19)
》 重要インフラ専門委員会 第15回会合(平成20年3月28日) (NISC, 3/28)
》 松永英明氏のブログのタイトルが、 (悪徳商法?マニアックス ココログ支店, 3/29)。……。
》 はてなdeスキャンに、お勧め機能を実装しました (悪徳商法?マニアックス ココログ支店, 3/29)
》 ゲーム会社や漫画会社は、パチンコ化を推し進めるべき (悪徳商法?マニアックス ココログ支店, 3/30)。 ひぐらしやデスノですか。不可抗力とは言え毎回 10 万人単位の死者を出す「ダーティペア」の小説や、サイボーグ体を手に入れた少女が殺人を繰り返す「銃夢」のマンガ本などを持っている俺の立場は……。
》 iモードが契約者IDを非公式サイトに対してもデフォルトで自動送信へ (slashdot.jp, 3/29)
》 「Windows セキュリティの緊急警告」表示について (トレンドマイクロ, 3/30)。ウイルスバスター 2007 + Windows Vista の場合。
Windows Vistaでウイルスバスター2007をご利用のお客様で、タスクトレイに「Windows セキュリティの緊急警告」が表示されることがあります。
(中略)
本メッセージは、一定期間スパイウェアパターンファイルがアップデートされていない場合に、表示されるものです。3月30日現在における、スパイウェアパターンファイルの最新リリース日は3月12日で、その後リリースを行っていないため、本メッセージが表示されることがあります。
》 イー・モバイル爆破予告容疑 ネット書き込みの高1逮捕 (asahi.com, 3/29)
Wireshark X.509sat / Roofnet / LDAP / SCCP dissector に欠陥があり、 攻略パケットによって Wireshark が crash する。
まもなく登場予定の Wireshark 1.0.0 で修正される。
出ました: Wireshark 1.0 Released (wireshark.org, 2008.03.31)
》 未成年はGoogle・Gmail・YouTubeなどを利用することができません (gigazine, 3/28)
》 公認会計士協会 「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」 (まるちゃんの情報セキュリティ気まぐれ日記, 3/28)。確かに長い……
》 ドメイン:“不法占拠”の苦情件数が過去最高 WIPO調査 (Open Tech Press, 3/28)
》 ドメイン:「.com」「.net」登録料、また値上げ (Open Tech Press, 3/28)
》 住信SBIネット銀行がフィッシング・サイト停止サービスを導入,RSAで国内9事例目 (日経 IT Pro, 3/28)。RSA FraudAction。なかなかいいお値段らしい。 Joint Workshop on Security 2008 の懇親会では「RSA の半額で同じことやれる会社つくれるんじゃねーの? ドリームチームつくってやっちまおーか」という話が盛り上がっていた。
》 「ユーロ2008」のチケット販売サイトに「ウイルスのわな」 (日経 IT Pro, 3/28)
》 <記事紹介>「中国政府、ラサの暴動をでっちあげ」(米紙『Epoch Times』。3月22日) (情報紙「ストレイ・ドッグ」(山岡俊介取材メモ), 3/26)、 中国政府、ラサの暴動をでっちあげ (エポック・タイムス / ダライ・ラマ法王日本代表部事務所, 3/22)。
》 au携帯「W42K」の電池発火、回収へ 京セラ機種 (asahi.com, 3/28)、au携帯電話「W42K」の電池パック交換について (京セラ, 3/28)
》 フジ、BPOに改善報告書提出 「27時間テレビ」問題 (asahi.com, 3/28)
》 Joint Workshop on Security 2008, Tokyo プレゼンテーション資料 (日本シーサート協議会)、3/26 の分も公開されています。
懇親会で、陸自の通信団にはシステム防護隊という組織があることを知った。ぐぐると、陸上自衛隊殿よりの感謝状授与に関するお知らせ (LAC, 3/10) なんてのも出てきますね。 防衛庁における私有パソコン等による 情報流出防止に係る対策について (digitalforensic.jp) を見る限りでは、陸自のシステム防護隊に相当するのは
のようです。
》 YouTubeがJASRACより先にJRCと契約してしまった件について (栗原潔のテクノロジー時評Ver2, 3/27)
》 米国テレビ局のサイトはこんな感じになっているよという話 (栗原潔のテクノロジー時評Ver2, 3/27)
》 「著作権法を変えればそのまま流通が増えるのかというと、そんなことはない」は正論である (栗原潔のテクノロジー時評Ver2, 3/26)
》 サウスパーク全エピソードをネット公開 (栗原潔のテクノロジー時評Ver2, 3/26)
》 SoftBank、迷惑メール対策として1日あたりのS!メールの送信数の制限を強化 (RBB TODAY, 3/25)
》 2008年4月勉強会「送信者ドメイン認証技術の概要と sendmail+milter による実装」 (JUS)。2008.04.25、大阪府大阪市、一般 3,000 円。
》 道路財源支出で職員旅行、新たに20法人1億9600万円 (読売, 3/25)
》 ネット競売詐欺、ヤフーの責任認めず 名古屋地裁が損害賠償請求棄却 (毎日, 3/28)、オークション詐欺に「ヤフー」の責任はなし (gigazine, 3/28)
》 情報流出:長崎県と航空会社の会議議事録、ネットに (毎日, 3/28)。LimeWire ですか。
》 氷河の崩壊速度が加速 (JANJAN, 3/26)
》 グーグルの検索広告事業に減速の兆し——広告クリックの伸びが横ばい傾向に 同事業に依存するグーグルの危うさに株価も反応 (computerworld, 3/28)
》 日教組へのプリンスホテル使用拒否問題でシンポジウム (JANJAN, 3/27)
》 海上自衛隊・練習艦隊にきく海上での見張り (JANJAN, 3/26)
》 アフガニスタンで地雷撤去作業従事者への攻撃 (国連情報誌SUNブログ対応版, 3/25)
》 奴隷及び大西洋間奴隷貿易犠牲者追悼国際デー (国連情報誌SUNブログ対応版, 3/26)
》 コモロ諸島で自称大統領派の掃討作戦実施 (国連情報誌SUNブログ対応版, 3/27)、 コモロ (ウィキペディア)
これらの修正点は、文科相の諮問機関「中央教育審議会」の審議を経ないまま盛り込まれており、なぜ新たな文言が突然加わったのか議論を呼ぶのは必至だ。
(中略)
文科省は「修正は中教審の答申の枠の中で行っており、批判を受けるとは考えていない」としている。
君が代ですか。FREE SPIRIT の 1 曲目を BGM にして歌ってみますか?
》 新ターミナルで手荷物トラブル 英ヒースロー空港 (東京新聞, 3/28)。「国際、国内線あわせて三十四便が欠航に追い込まれ」るほどひどことになっている模様。
》 モッツァレラチーズからダイオキシン検出 伊保健省発表 (asahi.com, 3/27)
》 「沖縄ノート」裁判、地裁判決は「原告側請求をすべて棄却」
脆弱性関連情報に関する届出 (IPA) を行っても、最近は「受理」されるだけで 1 か月かかり、実際に情報が流通するにはそこからさらに時間がかかる、という話。 「届出システム」がリニューアルされた (IPA) ようですが、その後が問題なのでは。
関連: 届出の受理、遅くありませんか? (水無月ばけらのえび日記, 2008.03.28)
「情報セキュリティ早期警戒パートナーシップガイドライン」の2008年版を公開 〜ウェブサイト運営者のための脆弱性対応マニュアルをガイドライン化〜 (IPA, 2008.04.04)
2008年3月末までにソフトウェア製品及びウェブサイトの脆弱性に関する届出が2,046件に達し
ソフトウェア等の脆弱性関連情報に関する届出状況 [2007年第4四半期(10月〜12月)] (IPA) によると、2007 年末で 1123 + 626 = 1749 なので、2008Q1 は 2046 - 1749 = 297。 2007年は
| 2007Q1 | 37 + 96 = 133 |
|---|---|
| 2007Q2 | 46 + 95 = 141 |
| 2007Q3 | 49 + 103 = 152 |
| 2007Q4 | 66 + 80 = 146 |
なので、2008Q1 の 297 という数字は「これまでの倍」ですな。人的資源が対応できなくなっているのですかねえ。
米国のセキュリティ企業 Independent Security Evaluators(ISE)の研究者チームが、Safariブラウザのゼロデイの脆弱性を突いてMacBook Airハッキングに成功した。(中略) 今回のハッキングに使われたSafariの脆弱性情報はTippingPointのZero Day Initiativeが買い取ってAppleに通報し、現在Appleで対処に当たっているという。パッチが公開されるまで詳しい内容は公表しない方針。
これ、Safari 2.x のゼロデイ欠陥ということになるのでしょうか? それとも Safari 3 話?
関連: iPhoneをハッキングした研究者、MacBook Airも2分で制圧 (computerworld, 3/28)。2 分で十分ですよ。
Safari 3.1.1 で修正された。Safari ではなく WebKit の欠陥だった。CVE-2008-1026
関連:
実は 10 種類ではなく 12 種類であった。MFSA 2008-07 と MFSA 2008-13 が追加されている。
MFSA 2008-07: BMP デコーダ内の潜在的な情報漏えい。 CVE-2008-0420
この脆弱性は他ベンダーの製品にも影響があったため、同社が修正版を公開できるまで、情報公開が見送られていました。
MFSA 2008-13: 文字エンコーディングに起因する複数の XSS 脆弱性。 CVE-2008-0416
これらの脆弱性は Firefox 2.0.0.12 およびそれ以前のバージョンで修正されましたが、他のブラウザベンダーが関連する脆弱性を修正するまで公開が見送られていました。
関連: えむけいさん曰く「結局無修正のまま公開されてしまいました」 (hoshikuzu | star_dust の書斎, 2008.03.28)。Firefox 2.0.0.13 においても修正は不十分である模様。
》 国産ジェットを25機購入 全日空、設計にも参加 (中日, 3/27)。三菱リージョナルジェット MRJ の話。
》 4法科大学院を「不適合」 大学評価・学位授与機構 (中日, 3/27)。
今回、不適合とされたのは北海道大、千葉大、一橋大の各法科大学院と、香川・愛媛両大の連合法科大学院。
》 ORDB.org blacklisting all IP addresses (SANS ISC, 3/26)。ORDB は 2006.12.18 に shutdown していますが、今回、「全ての IP アドレスは blacklist されている」という内容に変化したそうで。 まだ使っている人は、今すぐ使わないように設定しませう。
関連: ORDB.org is dead and gone (Allan Willems Joergensen - OnDemand, 3/27)
》 「道路啓発広報」のあなどれない影響力と効果 (保坂展人のどこどこ日記, 3/26)
》 沖縄県民集会への参加と袴田事件で最高裁「再審請求」棄却 (保坂展人のどこどこ日記, 3/25)
》 川内博史さんの奮闘で「にがり」規制ぎりぎり回避(拍手) (保坂展人のどこどこ日記, 3/27)。これについてはなんとか回避できたようだが、官製不況の芽はまだまだ他にも存在するのだろうなあ。そもそも建築基準法方面はいまだに解決してないし。
》 最強のパスワードを作る (日経 IT Pro)
》 国民生活センター 個人情報に関する消費者の意識 (まるちゃんの情報セキュリティ気まぐれ日記, 3/25)
》 監査法人トーマツ 企業の内部統制報告制度への対応状況を調査 (まるちゃんの情報セキュリティ気まぐれ日記, 3/26)
》 D-Link製ルータへの攻撃はボットの仕業——シマンテックが示唆 TCPポート23をスキャンしてSNMPサービスを悪用 (computerworld, 3/26)
》 アンチウイルス・ソフトの独立系テスト機関が提携,統合テストの作成など (日経 IT Pro, 3/26)
》 ロジテックのICレコーダーにウイルス混入、最大で700台が対象 (日経 IT Pro, 3/26)
》 Googleの広告サービス「AdWords」をかたるフィッシング出現 (日経 IT Pro, 3/26)
》 サン、VMwareと連携可能な仮想デスクトップソフト「Sun VDI Software 2.0」国内発売 (Open Tech Press, 3/26)
》 TLD:アジア専用の「.asia」 登録開始 (Open Tech Press, 3/26)
》 日本のブログのなんと約40%がスパムブログであることが判明 (gigazine, 3/27)。個人的には、感覚的に納得できる数字。
》 ついにパソコン用の外付け地デジチューナーの販売解禁、USBタイプなどが登場へ (gigazine, 3/27)
》 姜尚中・東大教授ら、ネグリ氏来日中止で政府に抗議声明 (asahi.com, 3/24)、ネグリ氏のテキストを代読 入管問題で不在 京大で講演 (京都新聞, 3/24)、アントニオ・ネグリ (ウィキペディア)。
日本政府は、ネグリ氏の来日直前、ビザ申請に加え、入管法上の「特別上陸許可」を出すために、過去に受けた有罪判決が、政治犯罪によるものだとする証拠を書類で示すよう要求。ネグリ氏側は時間的に無理として来日を断念した。
なんとチンカスな政府。
》 軍事スパイと認定 中国系米国人に禁固24年5月 (asahi.com, 3/25)。US の話。
》 『ラ・パルレ』一部業務停止 エステ大手 都命令『必ずやせる』勧誘うそ (東京新聞, 3/25)
User-Agent: */mens/861/ って何? と思ったら、 男のための痩身プログラム 脱メタボリックコースだった。
Disallow: /mens/861/
》 VirusScan for Mac 8.6 becomes unresponsive after upgrading (McAfee KB615071)。McAfee VirusScan for Mac 8.5 → 8.6 で preference の移行がうまくいかない話。デフォルト値にリセットする、あるいは com.mcafee.virex.prefs.plist ファイルを一旦削除することで回避できる。
》 Scheduled VirusScan for Mac tasks fail to run (McAfee KB614943)。McAfee VirusScan for Mac 8.6 話。Hotfix が添付されています。
》 「ブログの引っ越し」を謳ったフィッシングサイトが登場? (slashdot.jp, 3/26)。 ブログお引越しツール (FC2) のことらしい。
》 番組の二次利用促進の鍵は「儲かる仕組み」ドワンゴ川上会長らが議論 (Internet Watch, 3/26)
》 ビジネスソフトの違法コピーで学校法人が約2億1,000万円の和解金、BSA発表 (Internet Watch, 3/26)、 BSAメンバー、首都圏所在の学校法人と和解 〜 和解総額は全世界で過去2番目に最高となる約2億1千万円 〜 (BSA, 3/25)
》 シマンテック、ノートン・アンチウイルス For Mac Dual Protection を発売 - Mac OS X Leopard と Windows を併用する Mac ユーザーに、多層的な脆弱性対策とウイルス対策機能を提供 (シマンテック, 3/26)。明日から発売。
ノートン・アンチウイルス For Mac Dual Protection は、1 つで 2 つの OS に対して完全な保護を提供する、便利で費用対効果の高い製品です。
要は、「ノートン・アンチウイルス For Mac」と「ノートン・アンチウイルス 2008 (Windows 版)」が同梱されているものみたい。
》 地デジ悪質商法にご用心 放送「工事必要です」と訪問 (ITmedia, 3/27)
》 当社社員の個人所有パソコンからの業務情報流出について (関西電力, 3/25)。例によって Winny だそうで。
》 Mac向け偽セキュリティソフトが改名? 「iMunizator」が出現 (ITmedia, 3/27)
》 Joint Workshop on Security 2008, Tokyo プレゼンテーション資料 (日本シーサート協議会) が公開されています。……が、昨日の分はまだみたい。 昨日だけ参加させて頂いたのですが、災害方面のお話がたいへん興味深かったです。
終了後、秋葉原ダイビル30階にある「なんの木」で懇親会。景色がよいです。
》 PromiScan 実験・研究用フリー版 (Vector) 0.29 が公開されています。WinPcap 4.0 に対応しているそうです。 三島さん情報ありがとうございます。
Weekly SOC Report (IBM ISS) によると:
SOCでは2008年3月24日19頃から、SQLインジェクションを使った攻撃の再開を確認しました。
あらら。
攻撃が成功するとWebページが改ざんされ、www.2117966.net へのリンクがサイトに埋め込まれます。
「2117966.net」でぐぐるとか「fuckjp0.js」でぐぐるとたくさん出てきますね。 GAZOO.com なんてサイトもやられていたようです。情報ありがとうございます > 某氏。 画像1、画像2
今 (3/27 02:45 AM) 試してみたら http://www.2117966.net/fuckjp0.js は存在しないみたいだけど、http://www.2117966.net/fuckjp.js は存在しますね。
LAC さんのも更新されてました:
記者向け説明会までしたそうで:
CPNI-072928 - 複数のアーカイブ形式に対する脆弱性 (JVN, 2008.03.24)
Amazon「ほしい物リスト」に「重要なお知らせ」が追加 (Internet Watch, 2008.03.24)
McAfee Security Bulletin - Common Management Agent 3.6.0 format string vulnerability with debug level set to 8 (McAfee) の話の日本語版:
CMA 3.6 Patch3 HotFix 398370 で修正される。
Windows Vista では、NoDriveTypeAutoRun レジストリ値を用いた autorun / autoplay 無効化が正しく機能しない模様。なんじゃそりゃーー。CVE-2008-0951。
代わりの方法が述べられているので参照のこと。たとえばこれ。
MS08-038 - 重要: Windows エクスプローラの脆弱性により、リモートでコードが実行される (950582) (Microsoft) で修正された模様です。
このセキュリティ更新プログラムは Windows Vista および Windows Server 2008 コンピュータの自動実行機能に関する一般に公開された既知の問題も解決します。この更新プログラムは NoDriveTypeAutorun レジストリ キーにより制御される右クリックおよびダブル クリックの動作を正しく無効にします。これは Windows Vista および Windows Server 2008 で CVE-2008-0951 で説明されている問題を修正します。
よくわかりません。
ニュースリリース(ホームページ内に存在した脆弱性についての修正を行いました) (秀まるお, 2008.03.27)。詳細不明。
PLAYSTATION Networkをご利用の皆様へのお詫びとお願い (playstation.com, 2008.03.27)
「PLAYSTATION Store」において、PCからの特殊な操作により、一部のユーザー様のパスワードが第三者に勝手に変更された可能性があることが判明いたしました。(中略) システム修正前に行われた不正アクセスの実態についての社内調査にもとづいて、第三者により不正にパスワードが変更された可能性のあるユーザー様には直接、本件に関するご案内をお送りしております。
「まず侵入される」のではなく「いきなりパスワードが変更される」ような内容だったのだろうか……。
Firefox 2.0.0.13 登場。6 種類のセキュリティ欠陥が修正されている。
欠陥は SeaMonkey にも存在し、SeaMonkey 1.1.9 で修正されている。 欠陥のいくつかは Thunderbird にも存在し、Thunderbird 2.0.0.13 で修正される予定 (未リリース)。
Adobe 方面
なぜか http://www.adobe.com/jp/support/security/bulletins/apsb08-09.html は今のところ存在しないみたい。
[SA29483] Safari Address Bar Spoofing and Memory Corruption Vulnerabilities。 Safari 3.1 for Windows の話。
Safari 3.1 for Mac でどうなるかは不明。
Multiple Vendor CUPS CGI Heap Overflow Vulnerability (iDefense, 2008.03.18)。CUPS 1.3.5 に欠陥。 631/tcp に攻略リクエストを注入すると buffer overflow が発生、任意のコードを実行できる。 CVE-2008-0047
Mac OS X においては About Security Update 2008-002 で修正されている。
VLC Media Player ねた。最新リリース 0.8.6e では直ってない話。
あと、こんなのも。
ZDI-08-013: Novell eDirectory for Linux Stack Overflow、 CVE-2008-0924。patch がある模様。
Cisco ねた大漁。
》 Joint Workshop on Security 2008, Tokyo の日だったんですね、そういえば。
Program Overview (FIRST.org) と タイムテーブル (e-side) を見比べると、明日の 17:00 からの F-Secure な人の話は急拠追加されたのかな。
》 沖縄の怒り全国に訴え/きょう午後 県民大会 (沖縄タイムス, 3/23)。この県民大会の前日 (3/22)、「国旗国歌推進県民会議」は産経新聞と世界日報に「折り込みチラシ」を依頼したのだが、そこにおいて女子中学生暴行事件の被害少女を批判した上、実名かとの誤解を招くような名前を記載していた模様。 匿名希望さん情報ありがとうございます。
記載された名前は実名ではないが、惠会長は実名かどうか把握しておらず、「チラシはある文章を引用して作ったが、名前を記すことの意味はよく考えていなかった。被害者の人権を指摘されれば多少、軽率だったかもしれない」と述べた。
「国旗国歌推進県民会議」の会長はそういう人権感覚の持ち主のようだ。
沖縄タイムスの取材に対し、世界日報の黒木正博編集局長は「同日夕方ごろ、沖縄の販売店から報告を受けた。不穏当な表現だと考え、すぐに回収を命じた」と話した。
世界日報は回収したのだけど、
産経新聞社大阪本社の広報担当は「折り込み広告は販売店が判断して入れている。公序良俗等に反するものは控えるよう販売店には言っている。内容の確認をしていないが、もし事実なら遺憾に思う」としている。
産経は内容の確認はしないし回収もしなかった模様。 また上記が「大阪本社の広報担当」であることに関し、 小山裕士・産経新聞那覇支局長はなぜ何も言わないのか (vanacoralの日記, 3/24) という指摘が。確かに、 小山裕士・産経新聞那覇支局長のブログは何もなかったかのような状況だ。
最初「田代砲」の親戚かと思った (砲じゃない)。
》 未完の国鉄改革 Part2 (日経 IT Pro, 3/24)
》 ストレージの暗号化をクロスプラットフォームGUIで実現するTrueCrypt 5.0 (Open Tech Press, 3/24)
》 電子投票研究チームの成果がCMUトップページに登場 (武田圭史, 3/23)
》 【都市伝説?】標的型攻撃による被害は深刻化しているのか? (武田圭史, 3/23)。被害が公開されないのと、被害が存在しないのとは違うんですけどね……。
》 Vista SP1のダウンロード要件に怒りの声——互換性に問題のあるデバイス・ドライバが多すぎる (computerworld, 3/24)
》 総務省 確定 「郵便事業分野における個人情報保護に関するガイドライン」及び「信書便事業分野における個人情報保護に関するガイドライン」 (まるちゃんの情報セキュリティ気まぐれ日記, 3/25)
》 「もはやPDFは安全なファイル種類ではない」、新たなPDFウイルス出現 (日経 IT Pro, 3/25)。Targeted malware attacks against pro-Tibet groups (F-Secure blog, 3/21) も PDF だったしねえ。
》 電力系統をハッキングする (日経 IT Pro, 3/24)。Bruce Schneier 氏の分析。
》 ダルフール問題の啓蒙サイトがハッキング被害、FBIは中国の関与を調査 ハッキング痕跡から中国発のIPアドレスを発見 (computerworld, 3/24)。単にもうかりそうだからなだけなんじゃないのかなあ。
》 『生命のフェスティバル』と海水からの塩作りへの横やり (保坂展人のどこどこ日記, 3/24)
Winny では「ダウンロード」行為が同時に「一般公開」行為にもなってしまう (ダウンロードした「キャッシュファイル」を自動的に公開してしまう) ことが知られていますが、ついに、これを「著作権法違反 (公衆送信権侵害)」容疑で書類送検する事例が現れました。
このうち「兵庫県加古川市の地方公務員男性A(31歳)」は現職警察官なのだそうです。
著作権法違反の疑いで兵庫県警の樋口亮寛巡査(31)=兵庫県加古川市=を書類送検した。
ウィニーは一時保存ファイルを削除しないと、誰でも情報を入手できる仕組み。県警はネット捜査の中で巡査のパソコンの一時保存ファイルにゼンリンの地図情報があるのを発見。著作権法には過失処罰規定がないが、巡査はウィニーのこの特徴を知っており、県警は故意性があったと判断し、書類送検に踏み切った。
で、この巡査、何を言っているかというと:
警察の調べによると、男性Aは「仕事で使いたいと思い、ダウンロードした」と供述している。
海賊版で警察の仕事ですか……。いやはや。
》 Win版iTunesアップデートにSafari,MozillaのCEOがAppleを批判 (日経 IT Pro, 3/24)。Apple に倫理観なし。
》 飛行機の中で寝ている間に男に体液をかけられた女性、航空会社を提訴 (gigazine, 3/24)。ふと目をさますと隣の人がオナニーしていて、自分の髪の毛には体液が……。怖すぎる。
》 米国:ソンミ村事件調査団報告書は虐殺を生んだ政策を隠蔽 (JANJAN, 3/24)。 そういえば、タイガーフォースという本が出ていたなあ。 関連: 「タイガーフォース」を追いつめた米軍のコロンボ (ニュースの地層, 2007.03.01)。翻訳品質に難ありか。 Special Report: Tiger Force (toledoblade.com)
》 権利者団体による「Culture First」の公式サイトが開設 (Internet Watch, 3/21)。はじめに利権維持ありき。
》 レッシグ教授、裏金問題追求の政治組織「Change Congress」立ち上げ (ITmedia, 3/22)
》 “スパム王”ついに有罪、26年の実刑も−スパム撲滅は可能か? (Enterprise Watch, 3/24)
》 トヨタが従量制自動車保険に再チャレンジ (栗原潔のテクノロジー時評Ver2, 3/23)
》 5分で絶対に分かるグリーンIT (@IT, 3/21)
》 鳥インフルエンザ関連。 しばらく見ていなかった間にいろいろあったようで……
全般
インドネシア
このような集団感染の発生はともかく、WHOのデータを見ていて、不安になるのは、死亡後相当時間が経過してから、感染の事実が判明するケースがあることである。
ベトナム
中国
香港
》 シュール!厚労省カードゲーム「PandemicFlu」 (ESPIO, 3/23)。う〜む……
》 朝日ニュースター「ニュースの深層」で『心理諜報戦』を紹介 (ESPIO, 3/20)
こんなことを書くと編集者に怒られるけれども、この本は、自分でも予想したとおり、誰にも取り上げられていない。
(^^;;;)
》 コソボ:分割された街に期すコソボの行く末(全訳記事) (JANJAN, 3/23)
》 児童ポルノ画像がダウンロードできない偽リンクをクリックしただけで逮捕、有罪に (gigazine, 3/23)。本当にひどいよなあ。
》 総務省 確定 「情報通信ネットワーク安全・信頼性基準の一部を改正する告示案等」 (まるちゃんの情報セキュリティ気まぐれ日記, 3/23)
》 経団連 企業倫理への取組みに関するアンケート調査結果 (まるちゃんの情報セキュリティ気まぐれ日記, 3/22)
》 電子投票マシン・ベンダーのWebサイトがハッキング被害に 大統領予備選挙における投票記録トラブルへのいやがらせ? (computerworld, 3/21)。 Sequoia Voting Systems 社だそうです。
》 A hotfix that adds Compound TCP (CTCP) support to computers that are running Windows Server 2003 or Windows XP is available (Microsoft KB949316)
5.181.00 で対応された模様です。ちいちゃんさん情報ありがとうございます。
Possible_Otorun6 の Statistics タブを見ると、3/21 に見事なピークが出ていますね。画像。
Dovecot 話
CVE-2008-1397。CheckPoint 方面。
CVE-2008-1367。gcc 4.3.x 話。
McAfee Security Bulletin - Common Management Agent 3.6.0 format string vulnerability with debug level set to 8 (McAfee)。 Common Management Agent (CMA) 3.6.0.574 (Patch 3) 以前話。 ふつうの人には関係ないだろう。 CVE-2008-1357
Vulnerabilities in Timbuktu Pro 8.6.5。 PoC が公開されている。修正版はまだないっぽい。CVE-2008-1337
CVE-2008-1318。MediaWiki 話。 MediaWiki 1.11.2 で直っている模様。
Asterisk 話
AST-2008-002: Two buffer overflows in RTP Codec Payload Handling。 open source 版については、 Asterisk 1.4.18.1 / 1.4.19-rc3 / 1.6.0-beta6 で修正されている。
AST-2008-003: Unauthenticated calls allowed from SIP channel driver。 CVE-2008-1332。 open source 版については、 Asterisk 1.2.27 / 1.4.18.1 / 1.4.19-rc3 で修正されている。
AST-2008-004: Format String Vulnerability in Logger and Manager。 open source 版については、 Asterisk 1.6.0-beta6 で修正されている。
AST-2008-005: HTTP Manager ID is predictable。 open source 版については、 Asterisk 1.4.19-rc3 / 1.6.0-beta6 で修正されている。
D-Link router based worm? (SANS ISC, 2008.03.21)
McAfee Security Bulletin - Common Management Agent 3.6.0 format string vulnerability with debug level set to 8 (McAfee) の話の日本語版:
CMA 3.6 Patch3 HotFix 398370 で修正される。
Dovecot < 1.0.11 話は CVE-2008-1218 ではなく CVE-2008-1199 なので修正した。
Plone 3.x に複数の欠陥。 (typo fixed: 神戸さん感謝)
関連: LAMPのPをPHPからPerl/Python/Rubyに替えるだけではセキュリティは向上しない証拠 (yohgaki's blog, 2008.03.21)
Microsoft の Jet データベースエンジン 4.0.9505.0 未満に欠陥。 buffer overflow する欠陥があり、攻略ファイルによって任意のコードを実行できる。 CVE-2008-1092。 ただし欠陥の攻略には、通常は Microsoft Word を経由する模様。なぜかというと……
Microsoft Jet Database Engine Attacked Through Word (McAfee blog, 2008.03.21)
In several recent-yet limited-attacks, exploits were crafted to attack an MS Jet Database vulnerability through Word. The Word docs are coded to reference Access database files regardless of extension (which allows attackers to circumvent content filters looking for specific email attachment extensions).
Word を使えば、Outlook / Outlook Express などに装備された拡張子制限機能を飛びこえることができるからなのですね。
この欠陥は
Jet 4.0.9505.0 未満が装備されている Windows Server 2003 SP1 以前、Windows XP SP2 以前、Windows 2000 SP4 以前に影響する。
Jet 4.0.9505.0 以降が装備されている Windows Server 2008 / 2003 SP2、Windows Vista gold / SP1 には影響しない。
つまり、最新 OS では黙って直してました、と。
修正プログラムはまだ存在しない。回避方法としては、以下が述べられている。
Jet データベースエンジン (msjet40.dll) をアクセス不可に設定する。
ゲートウェイで MDB ファイルを制限する。
関連:
関連:
関連: 「Microsoft Jet」のぜい弱性に修正が必要なもう一つの理由 (日経 IT Pro, 2008.04.11)。Another Reason to Patch Microsoft Jet Vulnerabilities (Symantec blog, 2008.03.20) の翻訳記事。
MS08-028 - Microsoft Jet Database Engine の脆弱性により、リモートでコードが実行される (950749) で修正されました。
》 ECPATはいかにいてユニセフをたらし込んだか (崎山伸夫のBlog, 3/21)
》 国際人種差別撤廃デー (国連情報誌SUNブログ対応版, 3/22)
》 あのキモい四脚ロボ「BigDog」が進化。蹴られても、氷上で滑っても転ばず (痛いニュース, 3/20)、 四足歩行ロボット「BigDog」の最新動画 (slashdot.jp, 3/19)。なんでこんなにキモいと感じるのか? なんか、ジタバタ感がありすぎなんだよね。もっと最適化できると思うのだが、あえてしていないのかなあ。
》 コンビニ:売れ残りゴミを肥料や飼料にリサイクル (毎日, 3/22)。これくらい偽善的な話もないよなあ。そもそもコンビニ各社は店舗に対して意図して大量のゴミを廃棄させているんだから。 リサイクルなんて話をしているのは、ゴミを減らすつもりが全くないからこそだろう。 関連:
》 米国:イラク帰還兵、戦争の実態を語る (JANJAN, 3/22)
》 小さな漁船も識別可能・船舶、海上での見張りについて−海上保安官に聞く (JANJAN, 3/22)
一方、自衛隊自身は一刻もはやく「終ったこと」にしたようですな:
》 本:統制環境読本 「脱文書化3点セット」で内部統制が変わる!会社が変わる! (まるちゃんの情報セキュリティ気まぐれ日記, 3/22)。 コンプライアンス選書というシリーズの一冊。なんだ、翔泳社じゃないか。
》 トロイの木馬と誤認され続けるexerb (slashdot.jp, 3/21)
いったいどうしてこのような事態が継続しているのでしょうか?
そうだとしたら、アンチウイルスベンダーへ誤検出情報を誰も伝えていないからでしょう。
》 チベット問題、対応苦慮する福田政権 (asahi.com, 3/21)。放置プレイの模様。福田政権ではいつものことですが。 関連:
》 情報流出:ネット上に金融機関の検査資料が 日銀松江支店 (毎日, 3/22)。例によって Winny 経由。関連:
》 パブコメ 総務省 「地球温暖化問題への対応に向けたICT政策に関する研究会」報告書(案) (まるちゃんの情報セキュリティ気まぐれ日記, 3/22)
》 道路の話題を掘り下げたい (保坂展人のどこどこ日記, 3/22)
》 Targeted malware attacks against pro-Tibet groups (F-Secure blog, 3/21)。pro-Tibet メーリングリストに対する標的型攻撃の話。
「8800.org」でぐぐるとわかるように、このドメインは昔からいろいろあるようで。 関連:
》 有害サイトの法規制は是か非か 自民党真っ二つ (asahi.com, 3/21)
》 なぜ洗剤が!?——F1グランプリの公式ページが乗っ取られる (日経 IT Pro, 3/21)、F1マレーシアグランプリの公式サイトが乗っ取られる、F-Secure報告 (Internet Watch, 3/21)。 DNS にゴミをつっこまれていた模様。
》 ウイルスバスター2008 プログラムバージョン16.10 公開のお知らせ (トレンドマイクロ, 3/19)。3/26 公開予定。
》 Packer (r)evolution (Panda research, 3/19)。customized or private packers の割合が急激に増加している模様。ClamAV は、こういうものへの対応は弱いだろうからなあ。
》 Windows Server 2008 日本語版 ご利用に際しての注意事項 (重要) (Microsoft)。例の AD がらみの件、patch ができたそうで。
》 立川ビラ配り事件:有罪判決確定へ…最高裁が判決期日指定 (毎日, 3/21)
》 「楽天市場」元出店者から個人情報Winny流出の恐れ (ITmedia, 3/21)。「豆腐専門店 金沢・炭谷屋」だそうで。
》 児童ポルノの「だましリンク」で逮捕、FBIが新手のおとり捜査を実施 (technobahn, 3/21)。こういうのは、犯罪を誘発しているだけだと思うが……。
》 経産省、リコール表記のJIS規格を制定 〜わかりやすさを重視。今年6月制定へ (家電 Watch, 3/19)
》 地球の自転速度をほぼリアルタイムに計測、GPSの精度向上などに見込み (Internet Watch, 3/19)。♪地球がまわる音を聞いたことあるよね〜 (C) 山本正之「究極超人あ〜るのうた」
》 「情報の安全性確保」と「情報の積極的活用・共有」の両立を〜 「NTTデータ情報セキュリティ報告書2008」システムインテグレータとして初めて発行 〜 (NTT データ, 3/21)
》 地球温暖化や三峡ダムが影響? 中国、ポーヤン湖で大規模渇水 (JANJAN, 3/20)
》 文芸社・新風舎の盛衰と自費出版(23)文芸社への事業譲渡と今後 (JANJAN, 3/14)
》 ビルマ人権の日 「軍事政権打倒」訴えデモ (JANJAN, 3/14)
》 青蔵鉄道とチベットカモシカの報道写真は「偽造」だった (JANJAN, 3/14)
》 ドイツマスコミスキャン〜肥満する連邦軍(下) (JANJAN, 3/17)
》 新銀行東京:大前研一氏に聞く 「成り立たぬ」に耳貸さず (毎日, 3/21)
しかし、半年後、最終報告に石原知事から出た言葉は「こういうんじゃないんだよな、僕がやりたいのは」。中小・ベンチャー企業支援構想を突然明かされたという。
ベンチャー起業家育成の苦労も知る大前氏は「それを生業とする銀行は成り立たない」と説得したが、知事は「都市銀行にできないことをやりたいんだよ」と耳を貸さなかった。大前氏は、すぐに身を引いたという。
》 横浜市大医局:学位謝礼金を強要か (毎日, 3/21)。嶋田紘医学部長(64)だそうで。
》 におわない「無水」トイレ 南海電鉄の駅で好評 (asahi.com, 3/20)
》 日本発!国産セキュア仮想マシンモニタ BitVisor 0.2 (α版) (セキュア VM プロジェクト)。関連:
》 工事進行基準がSEの“新3K職場”に与える影響 (日経 IT Pro, 3/21)
》 Add-on Management Improvements in Internet Explorer 8 (IEBlog, 3/20)
》 暗証番号入りスマートカードに対する不正操作 (日経 IT Pro, 3/21)
》 81歳のおじいちゃんが殺人ロボットを作って自殺 (gigazine, 3/21)。なんだか、 ジョン・ヴァーリイの「PRESS ENTER■」を地で行く話のような……。
》 GONZO、YouTubeなどで新作アニメ2作品を4月からの国内放送と同日にネット配信 (gigazine, 3/21)。いよいよテレビイラネ時代へ突入か。
》 [中国/米国] 中国政府、Google NewsとYouTubeへのアクセスを遮断か——チベット暴動の拡大を懸念? (computerworld, 3/18)。伊能さん情報ありがとうございます。
関連:
》 スーパー・マーケット米Hannafordに不正侵入,カード番号約420万件流出,詐欺事件1800件との報道も (日経 IT Pro, 3/19)
》 Webプロキシを利用したフィルタリングの回避は安全か (日経 IT Pro, 3/19)。匿名 proxy を立ちあげて公開するだけでお宝がごっそり得られる、ということですねえ。
》 Windows Vista Service Pack 1が本日から配布開始 (gigazine, 3/19)。一般公開されました。
Windows 版の Flash CS3 Professional, Flash Professional 8, Flash Basic 8 に欠陥。FLA ファイルの処理に欠陥があり、攻略 FLA ファイルによって任意のコードを実行できる。この話:
現時点では修正プログラムは存在しない。
Another Reason to Patch Microsoft Jet Vulnerabilities (Symantec blog, 2008.03.20)。ちょっと拡張子を変更しておくだけで Outlook のフィルタなんてすり抜けちゃいますし話。
JVNTA08-079B - MIT Kerberos の複数の脆弱性に対するアップデート。 MIT krb5 Security Advisory 2008-002 の話だそうです。
[SA29363] Nagios Unspecified Cross-Site Scripting Vulnerability。 Nagios 2.11 で直っているそうな。 CVE-2008-1360
MSIE 5 and 6 FTP vulnerability (SANS ISC, 2008.03.11)。IE 7 の人は関係ありません。 CVE-2008-1368
VMSA-2008-0005 - Several critical security vulnerabilities have been addressed in the newest releases of VMware's hosted product line. (VMware, 2008.03.17)。VMware Workstation / Player / ACE / Server 1.0.4 / Fusion に複数の欠陥。patch が公開されている。
結果としては、「変な条項は変更された」ものの、けっこうな退会者を出したという話があるようで。
関連:
Amazon「ほしい物リスト」検索が復活 「デフォルトで公開」設定変わらず (ITmedia, 2008.03.21)
一部で「米Amazon.comのWish List(ほしい物リストの英語名)デフォルトで非公開になっている」という指摘があったが、同社は「米国もデフォルトで公開される仕様」と説明している。
実際問題として、俺のはデフォルト非公開になっていたわけで。 アカウント作成時期によって異なる話なのかなあ。
トレンドマイクロのWeb改竄、ウイルス感染の恐れは6ページのみ (Internet Watch, 2008.03.21)
MS08-014 patch、修正版出ました。Excel 2003 の人だけが対象です。
あと、こんな話も。
なんかテキトーに実装されているんだろうか。
某所のウイルスバスター + 5.179.00 で Possible_Otorun6 が出まくっているそうです。ちいちゃんさん情報ありがとうございます。Possible_Otorun6 の Statistics タブを見ようとしたら、Internal Server Error になっちゃうな……。
5.181.00 で対応された模様です。ちいちゃんさん情報ありがとうございます。
Possible_Otorun6 の Statistics タブを見ると、3/21 に見事なピークが出ていますね。画像。
APPLE-SA-2008-03-18 Safari 3.1
Safari 3.1 が登場。βが取れているようです。13 種類の欠陥が修正されています。
About Security Update 2008-002
Mac OS X 10.4.11 / 10.5.2 用の、超大量のセキュリティ修正。
About the security content of AirPort Extreme Base Station Firmware 7.3.1
AirPort Extreme Base Station のファームウェアが更新された。 CVE-2008-1012 が修正されている。
About the security content of Digital Camera RAW Compatibility Update 2.0
Aperture 2 もしくは iPhoto 7.1.2 に影響する欠陥。 Adobe Digital Negative (DNG) 画像の扱いで buffer overflow する欠陥があり、攻略ファイルによって任意のコードを実行できる。 CVE-2008-0987
関連:
》 鳥インフルで少年死亡 ベトナムで52人目 (asahi.com, 3/18)
》 大阪電気通信大学、「原田ウイルス」作成で起訴の大学院生を無期停学 (Internet Watch, 3/17)、 痴漢でっち上げ 逮捕された学生を退学処分 甲南大 (asahi.com, 3/18)。後者については「近く本人と面会し通知する。それまでは無期停学処分にする」だそうで。
原田ウイルス方面、初公判があったようで:
》 著作物の保護期間や利用円滑化を今期も継続審議、著作権分科会小委 (Internet Watch, 3/14)
》 スパム広告:米ValueClickがFTCと和解 290万ドル支払い (Open Tech Press, 3/18)
》 2008年2月度 アプリケーションの脆弱性に関するラウンドアップ (トレンドマイクロ セキュリティ blog, 3/17)
》 InterScan Messaging Security Suite 7.0 Windows版 Service Pack 1 公開のお知らせ (トレンドマイクロ, 3/17)
》 Security Economics Report at ENISA (McAfee blog, 3/17)
》 日本は牛と鯨の異種交配実験を行っていた? (slashdot.jp, 3/18)。これも認知操作の一環なのでしょう。 心理諜報戦 (筑摩書房) は、なかなか興味深いです。
認知操作というと、やっぱり「コードギアス 反逆のルルーシュ」かなあ。このドラマにおける特殊能力「ギアス」は、つまりは認知操作を行う能力なのだよなあ。
》 Google悪用のウイルスメール、リンクをクリックすると感染の恐れ (日経 IT Pro, 3/18)
》 Web 2.0のセキュリティ懸念を考慮したアクセス管理が急務に 時代に合った電子技術利用ポリシーが必要 (computerworld, 3/13)
》 JIPDEC 「IT統制に関する実態調査」等 集計結果を公表 (まるちゃんの情報セキュリティ気まぐれ日記, 3/13)
》 「帯域制御の運用基準に関するガイドライン(案)」に係る意見募集について (日本インターネットプロバイダー協会, 3/17)、 ユーザー同意なしで帯域制御も可能に、ISP団体が指針案 (@IT, 3/17)、Winny利用を理由にしたインターネットからの強制切断は認められない方向に (gigazine, 3/18)
》 児童ポルノ方面。崎山氏の文章は各国の憲法にまで遡って論じていて興味深い。
》 VIVA! 道路特定財源。金なんかいくらでもあるでよ。
》 近年の標的型攻撃に関する調査研究−調査報告書− (IPA, 3/18)。フォティーンフォティ技術研究所による資料。
》 Yahoo!メールに不具合、5万7069通に別メールのヘッダー情報が混入 (日経 IT Pro, 3/18)
》 偽の「暗号化ソフト」に注意、ファイルを破壊した上にPCを乗っ取る (日経 IT Pro, 3/17)
》 [特報] まさか私に『ねんきん特別便』が届くなんて (保坂展人のどこどこ日記, 3/15)。保坂議員も当事者に。この時期に届くということは、当然中身は変なわけで。
開いてみると、「国民年金」加入記録だけが社会保険庁のコンピュータに存在していて、20代の頃に働いていた会社の厚生年金の記録が消えている。私は、20代の時も「保坂展人」、今も「保坂展人」で変わっていない。それでも記録は分裂しているとなれば、相当多くの人の記録が消えていて不思議はない。
誰にでも起こり得る、と。
さっそく、街頭で届いたばかりの『ねんきん特別便』をかざして国政報告をしていたら、多くの人から問い合わせを頂いた。「この『特別便』が届いた人は年金記録に漏れのある人なんですよ」と注意を喚起すると、「へえ、私にも来たけれど年金加入者全員に来ているものかと思って、『問題なし』とハガキを出そうと思っていました」という女性もいた。「必ず社会保険事務所に行って下さい。この『特別便』が来た人は年金記録に問題がある人ばかりなんです」と説明すると、「明日、行ってみます」という返事だ
関連: 年金記録が消えた……身近な悲鳴を聞く (保坂展人のどこどこ日記, 3/12)
》 会社でのUSBメモリー使用は禁止が基本,代替手段や利用時の選定/運用条件を明確に (日経 IT Pro, 3/17)
》 P2Pセキュリティ対策完全ガイド (日経 IT Pro)。さっそく 「UPnP ポート開放」でぐぐってみると、UPnPCJ というツールがみつかりますね。
》 [WSJ] 埋め込み型医療機器のハッキング方法、研究者が発見 (ITmedia, 3/13)
》 「2ちゃんねる」などで中傷書き込みした元生徒の父親に罰金 - 神奈川 (マイコミジャーナル, 3/12)
》 人が悪魔になる時——アブグレイブ虐待とスタンフォード監獄実験(1) (WIRED VISION, 3/13)、 人が悪魔になる時——アブグレイブ虐待とスタンフォード監獄実験(2) (WIRED VISION, 3/14)
》 Tools for restoring a system's state (SANS ISC, 3/16)。システムを以前の状態に戻すためのツールの紹介。 紹介されているのは:
》 サーバ仮想化セキュリティセミナーの資料を掲載しました (高橋晶子のセキュリティ漂流記, 3/18)
》 リバティ・アライアンス、OpenIDなど異種プロトコルとの相互運用シナリオを紹介 大規模組織のユースケースから20個のシナリオを抽出 (computerworld, 3/17)。というか、リバティ・アライアンスってまだあったのね。
》 暗号解読されたNXP製RFIDスマートカード、暗号鍵のビット長に問題 「48ビットでは短すぎる」と暗号解読者 (computerworld, 3/17)。48 ビットじゃねえ。
一方、NXP Semiconductorsの広報担当者マニュエル・アルバース(Manuel Albers)氏は、Nohl氏の発見結果の一部を同社が確認したことを認めている。だが同社では、広く普及したMifare Classicを市場から回収する計画はないという。
「当社は現在、より安全なほかのRFIDカードもラインアップしており、Mifare Classicは比較的安いエントリー・レベルのカードだ。高度に安全なスマートカードを必要とする場合には、多層的なセキュリティ対策を施すべきであり、カードの暗号化だけに頼ってはならない」(Albers氏)
それ、事前に顧客に告知してたの?
》 改ざんWebサイト対抗にHTTPプロキシ/認証プロキシの導入を——専門家が提言 (日経 IT Pro, 3/13)
》 米国の「スパム王」が起訴事実を認める——懲役26年の実刑の可能性も (computerworld, 3/17)
》 第1回 正規サイトに仕掛けられた「わな」 (日経 IT Pro, 3/17)
》 ウイルスがブラウザを狙っている 第2回 最新の攻撃がもたらす三つの脅威 (日経 IT Pro, 3/18)
》 「ゆうちょ銀行」をかたるフィッシング出現、暗証番号を入力させる (日経 IT Pro, 3/17)
》 パッカーの検出と,アンパックの一般的なテクニック (日経 IT Pro, 3/17)。unpack の裏技。
つまり,以下の手順を実行することで,大半のパッカーでアンパックされたバイナリを取得できる。
・PUSHADを実行する
・ESPにハードウエア・ブレークポイントを設定する
・実行する
・到達したブレークポイントを探す。OEPにつながっていないようであれば,再び実行して次のブレークポイントを待つ
》 Vectorの一部ソフトがOSプロダクトIDやユーザ名を作者サイトに送信 (slashdot.jp, 3/16)、 「DDChecker」および「TN Player」の公開停止の件につきまして (ベクター, 3/14)
Web Attack on Trend Micro Fails to Infect Users (trendmicro blog, 2008.03.14)
関連:
関連:
ようやく再公開されました: Kaspersky 7.0 メンテナンスパック1(MP1)再公開のお知らせ (just-kaspersky.jp)
MS08-014 patch 不具合の報道事例:
無線LANルーター「WN-APG/Rシリーズ」、「WN-WAPG/Rシリーズ」ご愛用のお客様へお知らせ (IODATA, 2008.03.18) によると……
ルーターのシステムセキュリティ設定が「標準」であり、なおかつルーターの設定画面へのアクセスパスワード設定が行なわれていない場合に、悪意のある第三者によりルーターの設定が変更されてしまう恐れがあります。
えぇっ?! これってつまり、「デフォルト状態では WAN 側からルータ設定画面へ無認証でアクセスできる」ってこと?!
なお、WN-APG/R ファームウェア1.05J/W以前、WN-WAPG/Rファームウェア2.04以前の初期設定では、セキュリティレベルが「標準」、パスワード無しの状態となり、悪意のある第三者よりWAN側からルーターの設定画面にアクセス可能な状態となっております。
うひゃあ、そのとおりだ……シンジラレナーイ。 orz
最新のファームウェアを適用されると、初期設定ではセキュリティレベルが「中」の状態となりWAN側からルーターの設定画面にアクセスできない設定となりますので、ファームウェアのアップデートをお勧めいたします。
ファームウェアダウンロード:
CERT-FI and CPNI Joint Vulnerability Advisory on Archive Formats の件。各ソフトの hotfix / 修正版が用意されているようだ。 http://www.f-secure.co.jp/ にはまだないようだが、おいおい用意されるだろう。 CVE-2008-1412
……出ました: セキュリティ勧告 FSC-2008-2 と対策 (日本エフ・セキュア, 2008.03.18)
さまざまなソフトウェアにおける、さまざまなアーカイブファイル (ACE, ARJ, BZ2, CAB, GZ, LHA, RAR, TAR, ZIP, ZOO) の取り扱いに関する fuzzing テストを実施した結果。テスト用アーカイブも公開されています: PROTOS Genome Test Suite c10-archive (oulu.fi)
ほとんどの結果は「Unknown」で、これはつまり、「欠陥があるけれどまだ修正されていない」の婉曲表現なのではないのか。
CPNI-072928 - 複数のアーカイブ形式に対する脆弱性 (JVN, 2008.03.24)
Namazu 2.0.18 登場。CGI 出力において、常に charset が設定されるようになったそうで。葉っぱさんが得意な方面ですね (関連)。 CVE-2008-1468
手元の奴も update しなくちゃ……。
》 イージス艦「あたご」安全航行装置 機能せぬまま1年 (asahi.com, 3/17)。「船舶自動識別装置 (AIS)」だそうで。
自衛艦は船舶安全法の適用外で搭載の義務はない。しかし、東京湾や近海などでは船の航行が多いことから、06年5月、防衛庁(当時)はAIS搭載の方針を決め、総務省に対し申請の手続きを開始。昨年4月から「あたご」など15隻に装置を設置した。
ところが、通常の船舶なら1カ月程度で承認が済むのに総務省が事前審査に手間取り、15隻ともAISが使えない状態が続いていた。防衛省は新年度、さらに45隻に搭載を予定し、総務省から事前審査の連絡を待つ状態だった。これに対し、総務省は朝日新聞の取材を受けた翌日の13日、防衛省に本申請するよう要請、申請書を受けると、即日、許可した。
実は総務省がガンだったってこと?! VIVA! 日本政府。
》 生物テロ対策のDNA技術開発 科警研など (asahi.com, 3/17)、 DNAチップを用いた生物剤検知システムの開発について 高精度な生物剤検知用DNAチップの開発を完了 (東芝, 3/17)。1 時間でわかるそうで。
》 「耐久競技にリスク」 IOC、北京の大気で報告 (asahi.com, 3/17)。ついに IOC オフィシャルがリスクを認める。VIVA! 中国。
関連: 【北京五輪】大気汚染への懸念が再燃 改善アピールも認識に溝 (産経MSN, 3/16)
いそがしすぎ……
》 韓国でまた論文捏造 サイエンス誌に掲載 (中日, 3/14)。「韓国科学技術院(KAIST)の金泰国教授」だそうで。
》 児童ポルノ単純所持違法化の動き (悪徳商法?マニアックス ココログ支店, 3/13)、 アニメ・漫画・ゲームでの子どもポルノの違法化を求める署名活動 (slashdot.jp, 3/13)
》 All Usenix Conference Proceeding Made Public (F-Secure blog, 3/13)
》 中国義歯から鉛「安全に問題」 (CB ニュース / Yahoo, 3/14)
中国製の義歯修復物に関しては、米国オハイオ州の患者からNADLに連絡があり、修復物を専門機関で分析したところ「危険なレベルの鉛が材料に使用されている」ことが分かった。
いやぁ怖いですねえ、恐しいですねえ。 伊能さん情報ありがとうございます。
》 米ハーバード大がハッキング被害,1万人のデータが流出 (日経 IT Pro, 3/14)
》 龍谷大学学生部から「緊急告知」として「当たり屋グループ」に関する情報が投げ込まれていたのだが、
5. 社用・自家用を問わず、コピーを出来るだけ多くの方に配布して、知らせて下さい。
おもいっきりチェーンメールを誘発しているので気になってぐぐってみたところ、やっぱりガセのようで。情報発信主体も明記されていないしなあ。
配布する前に 3 分ぐぐってほしかった…… > 学生部
》 音楽業界の過去最大の失策は「ネット戦略」 (ITmedia, 3/13)。ビジネスチャンスを自分でつぶしてましたからねえ。
》 中国製ギョーザ:メタミドホス、高濃度検出…市川の事件 (毎日, 3/13)。皮が 3,580 ppm、具が 3,160 ppm。 市川のギョーザ、数個で致死の可能性 千葉県警鑑定 (asahi.com, 3/13) と、致命的な量だったと。 その一方で、あいかわらず 「食への不安「報道のせい」 中国高官が批判」 (asahi.com, 3/13) だそうで。VIVA! 中国。
》 痴漢でっちあげ、警察はロクに調べもせず見事にひっかかる。そのまま行っていたらどうなっていたことやら。
Anti-virus company Trend Micro: Our website has been hacked, risk of Trojan horse infection (Sophos, 2008.03.13)。トレンドマイクロが最初じゃないし、という慰めも。
関連:
MS08-014 patch に不具合が発見されました。
After you install security update MS08-014, Excel 2003 calculations return an incorrect result when a Real Time Data source is used in a user-defined Visual Basic for Applications function (Microsoft KB950340)
After you install security update MS08-014 on a computer that has Microsoft Office Excel 2003 installed, array-entered functions that contain a Visual Basic for Applications (VBA) macro that refers to a Real Time Data source return an incorrect value. The incorrect value is usually 0.
Excel 2003 + MS08-014 patch において、 リアルタイムデータを参照するような VBA マクロを含み、かつ行列を引数とするような関数が、誤った答え (たいてい 0) を返すようになる、という理解でいいのかしら。
2008年3月のリリースに関する追加情報 (日本のセキュリティチーム, 2008.03.14)
》 児童ポルノの単純所持禁止にアニメ・マンガ・ゲームは含めるべきか否か? (gigazine, 3/13)。この方面がまたキナ臭くなってきているようで。 「児童ポルノ」と「リアル犯罪」との関係性すら不確かな状態で「アニメやマンガ」まで禁止しても、犯罪抑止どころか犯罪拡大になりかねない可能性があると思うんですけどねえ。 オタク界隈方面の状況を見る限りでは、「3D イラネ、俺たちはもう 2D で十分ですよ」という興味深い反応もあるようですし。どう見ても抑止効果でしょう、あれは。 「単純所持」も、冤罪を助長するだけだと思いますけどねえ。 取調べの可視化すらできていない現状を考えると危険だと思いますけどねえ。
あとですねえ。日本には「はだかんぼ」という文化があるわけで、欧米とは事情が全く異なると思うんですけどねえ。
》 法と技術で説くインターネットの世界。 2008.04.19、愛媛県松山市、無料。
》 DoS攻撃に悪用される「iPhone」のセキュリティ・ホール (日経 IT Pro, 3/12)
》 OfficeCat Update Available (snort.org, 3/11)
》 国民生活センターの不適切なアドバイス事例 (高木浩光@自宅の日記, 3/9)。携帯電話方面。
》 航空管制のシステム障害、「原因は基板の故障」、 国交省 (日経 BP, 3/10)
》 許可されたプログラムだけを実行可能にするソフト,TEDが組み込み向けにOEM販売 (日経 IT Pro, 3/11)。PC98x1 用のオンメモリなテキストエディタのことかと思ったら、 東京エレクトロンデバイスだった。
》 経済産業省、iPod nanoが爆発した事故について公表 (gigazine, 3/12)
》 「松川事件の真犯人」を読んで (JANJAN, 3/10)
》 【風刺色紙】北京五輪マラソン代表決定 大気汚染トレーニングが必要?! (JANJAN, 3/12)
》 「グラウンド・ゼロ」 工事現場を定点観測(2008) (JANJAN, 3/12)。工事がぜんぜん進んでない模様。
》 名ばかり管理職(仮) (NHK スペシャル, 3/31 放送予定)
》 ドイツマスコミスキャン〜肥満する連邦軍(上) (JANJAN, 3/10)。肥満の兵隊が多い話。
》 ビルマで射殺の日本人記者を目前で撮影した (JANJAN, 3/11)。アドリーズ・ラティフ氏会見の模様。
》 Trojan.Trafbrush: Providing Click Fraud Services to Affiliates (Symantec blog, 3/12)
》 Updates: ZoomIt v1.8, Inside Windows Server 2008 article, and a new webcast on deploying Windows Vista (Sysinternals Site Discussion, 3/10)
》 「iPhone 2.0のセキュリティ機能は、ビジネス・ユースとして不十分」 セキュリティ専門家が問題視するiPhone 2.0の“アキレス腱”とは (computerworld, 3/11)
》 IE 8のベータ版にWindows Updateが利用できない不具合が発覚 「IE 7をエミュレートして対処してほしい」とマイクロソフト (computerworld, 3/11)。制限事項に書いておくべきだよね。
》 マイクロソフト、Vistaの仮想化ソフトへの制限を緩和 ライセンス契約を変更し、反トラスト問題に対処 (computerworld, 3/11)。例の Vista Home Basic / Home Premium の EULA の話。
》 重要アプリの仮想環境への移行、サーバ担当マネジャーは総じて消極的 重要性・機密性の高いアプリほど仮想化技術の適用外に (computerworld, 3/11)。そりゃそうだろう。
SAP MaxDB ねた
APSB08-10 - Update available for potential LiveCycle Workflow 6.2 Cross Site Scripting security issue
(Adobe, 2008.03.11)。
CVE-2008-1202
Format string in McAfee Framework 3.6.0.569 (ePolicy Orchestrator 4.0)。まだ直ってないそうです。
CORE-2008-0204: Timbuktu Pro Remote Path Traversal and Log Injection (Core Security Technologies, 2008.03.12)。 CVE-2008-1117 CVE-2008-1118
Gmailバックアップソフトからアカウント情報が抜かれている (slashdot.jp, 2008.03.12)。G-Archiver というソフトはトロイ入りだったという話。
Pointsec Full Disk Encryption cracked (SANS ISC, 2008.03.12) だそうです。
Bug 520745 - CVE-2008-0072 format string vulnerability on Evolution multiple versions (gnome.org)、Gnome Evolution の書式指定文字列処理に脆弱性 (JPCERT/CC, 2008.03.12)。patch が出ている。CVE-2008-0072
JVN#79114735 - Google デスクトップにおけるクロスサイトスクリプティングの脆弱性 (JPCERT/CC, 2008.03.12)。Google デスクトップ 5.1.706.29690 以降で修正されている。
Cisco Security Advisory: Cisco Secure Access Control Server for Windows User-Changeable Password Vulnerabilities (Cisco, 2008.03.12)、 RecurityLabs_Cisco_ACS_UCP_advisory.txt
VU#831457 - RealNetworks RealPlayer ActiveX controls property heap memory corruption (US-CERT) に載っていた .reg ファイルをこのへんに置いておきます。
Can I own your wireless network? の日本語版: その無線ネットワークは本物か? (日経 IT Pro, 2008.03.13)
弊社ウイルス情報ページの改ざんについてが更新されてます。 閉鎖されていたページは 3/13 08:30 から再開されたそうです。
》 シマンテック,スマートフォン用セキュリティ・スイートを発表 (日経 IT Pro, 3/12)、 Windows Mobile用のウイルス対策ソフト、シマンテックが発売 (日経 IT Pro, 3/12)。 Symantec Mobile Scurity Suite 5.1 for Windows Mobile。
》 ドリームキャストの名前を騙った偽サイト出現 (slashdot.jp, 3/11)、注意:ドリームキャスト10周年を祝ってuser.dreamcast.comのメールアドレスを発行 (engadget.com, 3/8)。engadget の記事によると、セガ広報が
「dreamcast.com」はDreamcastマーク等、弊社登録商標を無断で使用しており、サイトデザインについても、ご覧になるお客様を混乱させてしまう内容であるとの認識をしております。したがいまして、弊社は、同サイトに対し、しかるべき対応も検討しております。
と語ったとされているが、ニュースリリースページには何もないところを見ると、顧客に告知する必要はない (勝手に混乱しとけ) と考えているようで。
》 使用されておらず連絡が取れない歴史的PIアドレスの割り当て先組織一覧 (JPNIC, 3/10)。「優子の部屋」って何だろ……気になる。
【注意喚起】 日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、 同行為により改ざんされたページへのアクセスによるマルウェア感染について (LAC, 2008.03.12) の件。
関連:
関連:
Weekly SOC Report (IBM ISS) によると:
SOCでは2008年3月24日19頃から、SQLインジェクションを使った攻撃の再開を確認しました。
あらら。
攻撃が成功するとWebページが改ざんされ、www.2117966.net へのリンクがサイトに埋め込まれます。
「2117966.net」でぐぐるとか「fuckjp0.js」でぐぐるとたくさん出てきますね。 GAZOO.com なんてサイトもやられていたようです。情報ありがとうございます > 某氏。 画像1、画像2
今 (3/27 02:45 AM) 試してみたら http://www.2117966.net/fuckjp0.js は存在しないみたいだけど、http://www.2117966.net/fuckjp.js は存在しますね。
LAC さんのも更新されてました:
記者向け説明会までしたそうで:
ColdFusion MX 7 / ColdFusion 8 ねた 3 題。
Windows 版の ColdFusion MX 7 / ColdFusion 8 に XSS 欠陥。 IIS 6 との組みあわせで発生。 CVE-2008-0643
ColdFusion 8 Cumulative Hot Fix 3 および KB403212 - Cross-site scripting vulnerability in some CGI variables (ColdFusion MX 7) で修正されている。
日本語版: APSB08-06 - ColdFusion MX 7とColdFusion 8の潜在的なクロスサイトスクリプティングのセキュリティ問題に対処するためのアップデート公開 (Adobe)
APSB08-07 - Update available for ColdFusion MX 7 and ColdFusion 8 Cross-Site Scripting issue (Adobe)
全プラットホームの ColdFusion MX 7 / ColdFusion 8 に XSS 欠陥。 CVE-2008-0644
ColdFusion 8 Cumulative Hot Fix 3 および KB403212 - Cross-site scripting vulnerability in some CGI variables (ColdFusion MX 7) で修正されている。
日本語版: APSB08-07 - ColdFusion MX 7とColdFusion 8のクロスサイトスクリプティング問題に対処するためのアップデート公開 (Adobe)
全プラットホームの ColdFusion MX 7 / ColdFusion 8 の管理者インターフェイスに欠陥があり、攻撃者が検知されることなくログインできてしまう。 CVE-2008-1203
それぞれ用の hotfix が用意されているので適用すればよい。
日本語版: APSB08-08 - ColdFusion MX 7とColdFusion 8における管理画面への無効なログイン試行を記録するためのアップデート公開 (Adobe)
RealPlayer 11.0.1 (build 6.0.14.794) 付属の rmoc3260.dll version 6.0.10.45 の ActiveX コントロールに欠陥があり、攻略 Web ページによって任意のコードを実行できる模様。 他のバージョンの RealPlayer が安全なのか否かについては不明。 この話: [Full-disclosure] Real Networks RealPlayer ActiveX Control Heap Corruption。 CVE-2008-1309
次の CLSID に kill bit を設定することで回避できる。
{2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93}
{CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}
また、ActiveX コントロールを利用しない Web ブラウザ (Firefox, Opera など) ではこの欠陥は発現しない。
RealPlayer ActiveX Vulnerability (US-CERT Current Activity) には別の CLSID も載っている。
{0FDF6D6B-D672-463B-846E-C6FF49109662}
{224E833B-2CC6-42D9-AE39-90B6A38A4FA2}
{2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93} ←上記と同じ
{3B46067C-FD87-49B6-8DDD-12F0D687035F}
{3B5E0503-DE28-4BE8-919C-76E0E894A3C2}
{44CCBCEB-BA7E-4C99-A078-9F683832D493}
{A1A41E11-91DB-4461-95CD-0C02327FD934}
{CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} ←上記と同じ
関連: 「RealPlayer」に危険な脆弱性、Webアクセスだけで被害の恐れ (日経 IT Pro, 2008.03.12)
VU#831457 - RealNetworks RealPlayer ActiveX controls property heap memory corruption (US-CERT) に載っていた .reg ファイルをこのへんに置いておきます。
Unpatched RealPlayer Vulnerability Being Exploited in the Wild (Symantec blog, 2008.04.03) によると、 この欠陥は RealPlayer 11.0.2 に含まれる rmoc3260.dll (6.0.10 .50) で修正されているそうだ。RealPlayer ダウンロードページから RealPlayer11GOLD_ja.exe をダウンロードしてインストールしてみたところ、RealPlayer 11.0.2 だった。
やられちゃったらしいです。
告知出ました: 弊社ウイルス情報ページの改ざんについて (トレンドマイクロ, 2008.03.12)
関連:
【注意喚起】 日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、 同行為により改ざんされたページへのアクセスによるマルウェア感染について (LAC, 2008.03.12) が関係あるのでは、という声もあるようで。
弊社ウイルス情報ページの改ざんについてが更新されてます。 閉鎖されていたページは 3/13 08:30 から再開されたそうです。
Anti-virus company Trend Micro: Our website has been hacked, risk of Trojan horse infection (Sophos, 2008.03.13)。トレンドマイクロが最初じゃないし、という慰めも。
Web Attack on Trend Micro Fails to Infect Users (trendmicro blog, 2008.03.14)
トレンドマイクロのWeb改竄、ウイルス感染の恐れは6ページのみ (Internet Watch, 2008.03.21)
APSA08-02 - Privilege escalation issue in Adobe Reader 8.1.2 for Unix (Adobe, 2008.03.11)。 CVE-2008-0883 の件。修正版登場予定なれど、予定は未定。
ヤラレたのでパスワードを変更したが、それでもまたヤラレたという事例。リネージュ資料室さん情報ありがとうございます。
MS08-014 で対応されました。
Amazon.co.jp の「ほしい物リスト」(旧称「ウィッシュリスト」) はデフォルトで「公開」に設定されているため、自分の「ほしい物」を意図せずに公開してしまっているとおぼしき事例が多数、という話。デフォルト公開って……何それ。シンジラレナーイ。
私自身は「ほしい物リスト」という機能そのものを使っていなかったが、デフォルト公開は予想外だったので設定は変更しておらず、「公開」のままになっていた。あまりにキモいのでさきほど「非公開」に設定。
amazon.com のものを確認してみたが、デフォルトの wish list は private に設定されており、「Make this list public」をクリックしない限りは private なままとなるようだ。ふつうはこうなるべきだよね。
関連:
自分の日記に以下のようなコードを埋め込めば… (中略) 自分のサイトにアクセスした人の本名とメールアドレスを、Amazonがどんどこメールで送ってきてくれるよ! 親切だね! (中略) ログインした状態なら、リストの作成・公開に関係なく送信されるそうです! (下線は小島)関連: amazon からサインアウトする方法。 これはひどい UI ですね。
ハイ、いかがでしたか。いやぁ怖いですねぇ、恐しいですねえ。 (声: 淀川長治)
報道:
関連:
関連:
Amazon「ほしい物リスト」検索が復活 「デフォルトで公開」設定変わらず (ITmedia, 2008.03.21)
一部で「米Amazon.comのWish List(ほしい物リストの英語名)デフォルトで非公開になっている」という指摘があったが、同社は「米国もデフォルトで公開される仕様」と説明している。
実際問題として、俺のはデフォルト非公開になっていたわけで。 アカウント作成時期によって異なる話なのかなあ。
Amazon「ほしい物リスト」に「重要なお知らせ」が追加 (Internet Watch, 2008.03.24)
Office 関連 × 4、いずれも「緊急」。
対象: Excel 2000 / XP、Excel 2003 SP2 以前、Excel 2007 gold、Excel Viewer 2003、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック、Office 2004 for Mac、Office 2008 for Mac
Microsoft Excel に、いずれも「緊急」の 7 種類の欠陥。 ただし Excel 2003 SP3、Excel 2007 SP1 にはこれらの欠陥はない。
Excel のデータ検証レコードの脆弱性 - CVE-2008-0111
関連: Microsoft Excel DVAL Heap Corruption Vulnerability (iDefense)
Excel のファイル インポートの脆弱性 - CVE-2008-0112。 Office 2004 / 2008 for Mac のみが該当。
Excel の STYLE レコードの脆弱性 - CVE-2008-0114
Excel の式解析の脆弱性 - CVE-2008-0115
関連: Microsoft Excel 2003 Malformed Formula Memory Corruption Vulnerability (iDefense)
Excel のリッチ テキストの検証の脆弱性 - CVE-2008-0116
関連: TPTI-08-03: Microsoft Excel Rich Text Memory Corruption Vulnerability (Zero Day Initiative)
Excel の条件付きフォーマットの脆弱性 - CVE-2008-0117
マクロ検証の脆弱性 - CVE-2008-0081。 「マイクロソフト セキュリティ アドバイザリ(947563) Microsoft Excel の脆弱性により、リモートでコードが実行される」の件。
対象: Outlook 2000 / XP / 2003、Outlook 2007 gold
Outlook における mailto: URI の処理に欠陥があり、攻略 mailto: URI によって任意のコードを実行される。CVE-2008-0110。 ただし Outlook 2007 SP1 にはこの欠陥はない。
関連: Microsoft Outlook mailto Command Line Switch Injection (iDefense)
対象がまったく異なる 2 つの欠陥がまとめられている。 Office 2003 SP2 用の patch と、Excel Viewer 2003 用の patch が同一のものであるためらしい。 「緊急」であるのは Office 2000 だけで、残りは「重要」。
Microsoft Office のセルの解析のメモリ破損の脆弱性 - CVE-2008-0113
対象: Excel Viewer 2003
関連: ZDI-08-008: Microsoft Excel BIFF File Format Cell Record Parsing Memory Corruption Vulnerability (Zero Day Initiative)
Microsoft Office のメモリの破損の脆弱性 - CVE-2008-0118
対象: Office 2000 / XP / 2003 SP2、Office 2004 for Mac
Office 2003 SP3、Office 2007 gold / SP1 にはこの欠陥はない。
対象: Microsoft Office Web コンポーネント 2000。 Office 2000 / XP、Visual Studio .NET 2002 / 2003、BizTalk Server 2000 / 2002、ommerce Server 2000、ISA 2000 に同梱されている。
Microsoft Office Web コンポーネント 2000 に、いずれも「緊急」の 2 つの欠陥。
Office Web コンポーネントの URL の解析の脆弱性 - CVE-2006-4695
URL の解析におけるメモリ管理に欠陥があり、攻略 URL によって任意のコードを実行できる。
Office Web コンポーネントのデータソースの脆弱性 - CVE-2007-1201
メモリ管理に欠陥があり、攻略 Web ページによって任意のコードを実行できる。
関連:
MS08-014 patch に不具合が発見されました。
After you install security update MS08-014, Excel 2003 calculations return an incorrect result when a Real Time Data source is used in a user-defined Visual Basic for Applications function (Microsoft KB950340)
After you install security update MS08-014 on a computer that has Microsoft Office Excel 2003 installed, array-entered functions that contain a Visual Basic for Applications (VBA) macro that refers to a Real Time Data source return an incorrect value. The incorrect value is usually 0.
Excel 2003 + MS08-014 patch において、 リアルタイムデータを参照するような VBA マクロを含み、かつ行列を引数とするような関数が、誤った答え (たいてい 0) を返すようになる、という理解でいいのかしら。
2008年3月のリリースに関する追加情報 (日本のセキュリティチーム, 2008.03.14)
MS08-014 patch 不具合の報道事例:
MS08-014 patch、修正版出ました。Excel 2003 の人だけが対象です。
あと、こんな話も。
Microsoft Office Excel Code Execution Exploit (MS08-014) (milw0rm)
》 「誤解は現場で起きている」 11の誤解を解く、金融庁がJ-SOXで新文書 (日経 IT Pro, 3/11)、「内部統制報告制度に関する11の誤解」等の公表について (金融庁, 3/11)。つーかなぁ……。 J-SOX の場合は、身の丈に合った「適切」な内部統制を自主的に実施できるように考えた結果、いろんなところが意図的にぼやかさていると思うのだけど、 何が適切なのかを自分で考えられないスカポンタンが「そんなこと言われてもどうすれば」とコンサルに泣きつき、コンサルはコンサルで後で責任取らされると嫌だから超広い範囲にわたって「これこれやらなきゃだめです」と言い……ということなんじゃないの? ツールを売り込みたいだけの IT 屋はテメーに都合のいいことしか言わないだろうし。いつものことだけどな。 あと、「内部統制.jp」自身も、誤解を助長している主犯の一人だと思うけどねえ。
》 404 toolkit used by Vundo creators (trendmicro blog, 3/9)。 WiniFixer なんてものもあるんですね。 しぶといなあ。
》 Bloggies Gives Out Malware Before Awards (trendmicro blog, 3/10)、Macウイルス監視サイトがMacマルウェア配信に加担? (ITmedia, 3/11)。ふつうのサイトを crack してマルウェアを配布する事例が続々。
》 GmailでもCAPTCHA破り? 悪用のスパムが倍増 (ITmedia, 3/11)
》 国民生活センターの不適切なアドバイス事例 (高木浩光@自宅の日記, 3/9)
》 A Crooked Review, or Creative Marketing? (Symantec blog, 3/7)。「Antivirus」で Google 検索 (英語モード) すると出てくる「Top 10 Antivirus for 2008」「The Shield Deluxe」とは……。
》 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第3版(案)」 & 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」 (まるちゃんの情報セキュリティ気まぐれ日記, 3/8)
》 経済産業省 パブコメ 「情報システムの信頼性向上のための取引慣行・契約に関する研究会」〜情報システム・モデル取引・契約書〜(パッケージ、SaaS/ASP活用、保守・運用)<追補版>(報告書案) (まるちゃんの情報セキュリティ気まぐれ日記, 3/8)
》 住基ネット合憲判決 判決文 (まるちゃんの情報セキュリティ気まぐれ日記, 3/8)
》 年金記録公約期限、鍵は怒りの声があがるかどうかだ (保坂展人のどこどこ日記, 3/10)
》 国連の「死刑執行停止決議」を受け止めるには (保坂展人のどこどこ日記, 3/8)
》 「官から民へ」は民意偽装戦略だった (保坂展人のどこどこ日記, 3/7)
》 カルチャーファーストはどこへ行った? (崎山伸夫のBlog, 3/10)
》 安全なファイルとは (Okumura's Blog, 3/9)。 朝日新聞の記事を真っ当な内容に書き直してみた (高木浩光@自宅の日記, 3/7) で高木さんが言っているのは、「安全な」ファイルの開き方であって、「安全なファイル」の開き方ではないと思うが……。
》 GoogleのDoubleClick買収、欧州委も承認へ (computerworld, 3/7)。Microsoft に支配されるのはまっぴらごめんだが Google に支配されるのはかまわない、ということなのだろうか。 (つーかとっくに支配されてるし……)
》 「エコ看板」、自治体が相次いで返上 認証料が負担に (asahi.com, 3/10)。ISO14001 を取得したものの、認証更新費が支払えずに捨てる自治体が続出だそうで。何のために外部認証を受けたんだか……。
》 NY州知事、超高級売春組織の客に 盗聴で判明 米紙 (asahi.com, 3/11)。「超高級」ともなると、1 時間 56 万円ですか……。
》 【続報】東証が緊急会見、システム障害の引き金はデータベースのデッドロック (日経 IT Pro, 3/10)
デッドロックが発生した場合、後から起動したトランザクションを強制的に終了させて先行するトランザクションを優先的に完了させるのが一般的だ。後発のトランザクションは、一定時間が経過した後で再起動(リトライ)する。東証の売買システムでも、同様のルールで「後発の訂正トランザクションをリトライさせた」(鈴木CIO)。だが、先行のトランザクションが終了しないまま、デッドロックが再び発生して、またリトライを繰り返すという事象が起きた。
リトライが続きシステムに無駄な負荷がかかるのを防ぐため、東証の売買システムでは、リトライする回数の上限を100回と定めている。今回は、この上限を超えたために訂正のトランザクションが異常終了した。
(中略)
鈴木CIOは、「デッドロックの発生自体は想定しており、リトライのロジックにも問題がなかった」と説明した上で、「リトライが繰り返されるのは想定外の事象だ」と明かす。後発のトランザクションをリトライしたのにどうして正常に処理されなかったのは、「詳細を調査中」(同)と話すにとどめた。東証は今夜中に再発防止の対策を講じ、明朝までにシステムの修正とテストを終える考え。
》 セキュアコーディング勉強会 第壱回。 2008.03.21、京都府京都市、500円。 まっちゃさん情報ありがとうございます。
》 サンプロ・コメント訴訟の和解内容全文 (SLAPP WATCH, 3/10)
》 「ICカードの暗号は数分で解読可能」——RFIDのセキュリティ懸念広がる 揺らぐ「Mifare Classic」カードの信頼性。カード偽造や個人情報漏洩の危険性も (computerworld, 3/10)
》 安全なウェブサイトの作り方 改定第3版 (葉っぱ日記, 3/11)。charset マスターによる、「安全なウェブサイトの作り方 改訂第3版」を公開 (IPA, 3/6) へのツッコミ。
》 この1年で8倍増,国内でも広がるWebからの攻撃 (日経 IT Pro, 3/11)
》 タミフル耐性インフルエンザの小流行が終息 症状は「感受性」と同じ、リレンザは有効 (日経 Medical Online, 3/7)
》 「天洋食品」加工作業の従業員ほぼ全員が退職 (読売, 3/10)。天洋食品自体をなかったことにするつもりなのか?
関連:
》 携帯フィルタリングで「過剰規制」 防災情報もダメ? (asahi.com, 3/10)。埼玉県 危機管理・災害情報の件。そもそも「埼玉県 危機管理・災害情報」の発信に楽天ブログなんてものを使うのが適切なの? という話もあってしかるべきだと思うが、どこにもない。
》 中国「スパイ」判決、官房長官が「不可解」と不快感 (読売, 3/11)。中国ですから。
》 透析用のヘパリン製剤、厚労省が自主回収 中国産原料 米で死亡例 (読売, 3/11)。またもチャイナリスクか。「バクスター社と同様に中国産の原材料を使い、米国SPL社が加工した原薬を輸入して製造されていた」扶桑薬品工業・テルモ・大塚製薬工場の製品には問題は発生していないものの、予防的処置として自主回収だそうです。
米国では昨年12月15日以降、バクスター社製の製剤で448人のアレルギー反応などの副作用報告があり、うち21人が死亡した。同社製は中国産の豚の腸を原材料にし、SPL社と中国にある同社の関連会社が加工した原薬から作られていた。米食品医薬品局(FDA)の調査で、バクスター社の製剤に使われた原薬には異物の混入が確認されているが、副作用との因果関係は不明で、原因は特定されていない。
関連: Heparin Sodium Injection (Baxter) (FDA.gov, last update: 2/28)
》 McAFee File System Filter Drivers May Cause STOP Error on Windows Server 2003 (Microsoft KB556066)。KB832336 ですか……。
》 Backup EXEC Issue with ISA Server 2006. (Microsoft KB556069)。ポート 10000 〜 10025 の扱い。
JVN#04032535 - Sun JRE (Java Runtime Environment) の XSLT 処理における脆弱性。 233323 - Multiple Security Vulnerabilities in Java Web Start May Allow an Untrusted Application to Elevate Privileges (Sun) の件です。
この欠陥を攻略する「北京オリンピック」ウイルスが確認されたそうです。
Excel 2003 SP3 / Excel 2007 の人は、この欠陥の影響を受けません。また、 この欠陥は、明日の Windows Update で対応されるはずです。 (Office の修正が 4 つもあるんだから……)
来月、Flash Player 9 のセキュリティ更新が行われるそうです。セキュリティ更新自体は、既知の欠陥に対するさらなる対応を行うためのもののようです。
この更新によって、一部の Flash コンテンツに副作用が発生する可能性があるそうです。詳細は Preparing for the Flash Player 9 April 2008 Security Update (adobe.com) を参照。項目は以下のとおり:
Panda Internet Security 2008, Panda Antivirus + Firewall 2008 に欠陥。 cpoint.sys が特定の IOCTL リクエストを処理する方法に欠陥があり、local user による DoS 攻撃、あるいは権限上昇が可能。
英語版については KB と patch が公開されている。
この patch を日本語版にも適用できるのかどうかは不明。
関連: TKADV2008-001 - Panda Internet Security/Antivirus+Firewall 2008 cpoint.sys Kernel Driver Memory Corruption Vulnerability (trapkit.de, 2008.03.08)
[SA29306] Acronis True Image Echo Group Server and Windows Agent Denial of Service
Acronis True Image Echo Enterprise Server 9.x に含まれる Acronis Group Server と Acronis True Image Windows Agent に、それぞれ remote から crash させられる欠陥がある模様。
[SA29305] Acronis Snap Deploy PXE Server TFTP Vulnerabilities
Acronis Snap Deploy 2 に含まれる PXE Server に、remote から crash させられる欠陥が複数存在する模様。
》 スパムマップ配信国ランキング(2008年2月) (トレンドマイクロ セキュリティ blog, 3/10)。ロシアが虎視眈々と 1 位の座を狙っているようです。
》 あの「ノートン・ファイター」がバージョンアップ (ITmedia, 3/10)。Norton 360 と同様に、ノートン・ファイターも 2.0 に upgrade だそうです。
シマンテックはレースカーのスポンサードをしており、こちらも「速い! 強い!」のイメージを打ち出している
スーパーアグリもスポンサードしてあげてください……。 今年はなんとかなったみたいですが、ここまで来るのがたいへんだったようですし。
》 シー・シェパードの過激な抗議活動、IWCが非難声明 (読売, 3/9)。放っておけば「反捕鯨 = テロリスト」のレッテルを貼られかねないしなあ。
》 MoonSecure Antivirusその後 (wakatonoの戯れメモ, 3/7)。Vista については、開発者自身が「There are still a few problems with Windows Vista however you can get round them currently by disabling UAC」と言ってますが、wakatono さんはどう設定していたのかな……。 まぁ、ふつうの人が try できる段階ではなさげなわけですが……。
Buffalo LinkStation LS-GL / LS-LGL / LS-HGL / HS-DHGL に脆弱性があり、remote から容易に攻略できる模様。「ハックキットを手順通りインストールした LinkStation にこの脆弱性はありません」ともあるので、プリインストールされているパッケージが古いから、という話かなあ。Ray さん情報ありがとうございます。
続報。Ray さん情報ありがとうございます。
LS-HGL については 2008.04.16 公開のファームウェア 1.01 で修正されているそうだ……が、buffalo.jp からは何のアナウンスもない。 参照: LS-HGLシリーズファームウェア Ver.1.01(2) (山下康成の”ハックしよう”, 2008.04.16)
LS-WTGL/R1 シリーズのファームウェアも 2008.04.16 に 1.03 が公開されているが、これで修正されているかどうかは未確認の模様。参照: LS-WTGL/R1シリーズ ファームウェア アップデータ Ver.1.03 (山下康成の”ハックしよう”, 2008.04.19)
LS-GLシリーズ ファームウェア アップデータ Ver.1.13 では直っていないそうです: LS-GLシリーズ ファームウェア アップデータ Ver.1.13(2) ( (山下康成の”ハックしよう”, 2008.04.29)。Ray さん情報ありがとうございます。
》 「小学生が殺害予告」相次ぐ ネット犯罪が低年齢化 (ITmedia, 3/6)
》 米軍の天候制御技術:「敵国の経済を破壊する気象兵器」文書が明らかに (technobahn, 3/5)
》 米空軍、内部情報を誤って外部にメール送信 問い合わせがきても対応せず (technobahn, 3/6)
》 「安全なウェブサイトの作り方 改訂第3版」を公開 (IPA, 3/6)
》 実は借金返済財源だった道路特定財源 五十嵐敬喜氏に聞く (JANJAN, 3/6)
》 イランで小麦を食い尽くすカビが発生 (国連情報誌SUNブログ対応版, 3/6)。関連: 感染症速報 20070416-0010、20070423-0330 (厚生労働省検疫所)、 Ug99 and emerging virulent stem rust race (tamu.edu)。Ug99 でぐぐると、陰謀論ぽいサイトが出てきたりしてアレだ。
》 調査捕鯨船にまた妨害行為 シー・シェパード (asahi.com, 3/7)、 「必要に応じて催涙弾発射も」 調査捕鯨妨害で町村氏 (asahi.com, 3/7)
》 やけ酒は傷癒やせず、嫌な記憶を固定 ネズミで実験 (asahi.com, 3/7)。うーむ……。それって、「箱の中で電気ショックを受けた」 + 「箱から出された直後に拉致されて泥酔させられた」で 2 倍イヤな思い出、ということなだけなのでは。
》 「2ちゃんねる」に殺害予告の12歳を通告 福岡県警 (asahi.com, 3/7)
》 サイバー大、6人の本人確認できず 「替え玉」可能性も (asahi.com, 3/7)
》 捕鯨問題・鯨肉はさばけているのか(1) (JANJAN, 3/6)
》 【名物記者のトレンド解説】高速化,冗長化,仮想化がデータセンターを支える−−日経NETWORK副編集長 (日経 IT Pro, 3/6)
》 MoonSecure Antivirus使ってみた (wakatonoの戯れメモ , 3/7)。stable 版とβ版どちらを使ってみたのだろう。
》 北陸電力の風力発電に関する資料がWinny流出、業務委託先の鹿島建設から (Internet Watch, 3/6)
》 Wizard Bible vol.39 (2008,3,5) (wizardbible.org, 3/5)
》 雇用促進住宅は「日雇い派遣」労働者はお断りか (保坂展人のどこどこ日記, 3/6)。本当に困っている人は救わない。
》 携帯の不正大量契約でソフトバンク3億円損害 (産経MSN, 3/6)
》 Microsoft OneCare incorrectly tagging SiteAdvisor; Solution in progress (McAfee blog, 3/6)。困ったものです。
》 phpMyBackupPro——最も簡単に扱えるMySQL用バックアップツール (Open Tech Press, 3/7)
》 Cisco、IOSの脆弱性情報公開スケジュールを変更 (ITmedia, 3/7)
今後、IOSのセキュリティアドバイザリーは毎年3月と9月の第4水曜日に公開する。このスケジュールにのっとって、まず3月26日にアドバイザリーを公開予定。
JVN#95014590 - Zimbra Collaboration Suite において任意のスクリプトが実行される脆弱性
CORE-2008-0124: Multiple vulnerabilities in Google's Android SDK。Android SDK m5-rc15 で直っているそうな。 CVE-2008-0985 CVE-2008-0986 など。
CVE-2008-0883。Linux 版の Adobe Reader 8.1.2 に symlink attack を受ける欠陥がある。
[SA29243] Check Point VPN-1 UTM Edge Cross-Site Scripting Vulnerability。firmware version 7.5.48 で直っているそうな。
qemu unchecked block read/write vulnerability。 patch が添付されている。CVE-2008-0928
ImageMagick 6.2.8-0 / GraphicsMagick 1.1.7 ねた
MoinMoin 1.6.0 で直った話。
MoinMoin の最新は 1.6.1。さらに XSS 穴などが修正されているみたい。
APSA08-02 - Privilege escalation issue in Adobe Reader 8.1.2 for Unix (Adobe, 2008.03.11)。 CVE-2008-0883 の件。修正版登場予定なれど、予定は未定。
APSA08-02 - Adobe Reader 8.1.2 Unix版における権限の拡大に関する問題について (Adobe)
上記文書が公開されました。
New MS Access exploit (PandaLabs blog, 2008.03.03) の件、McAfee は何も新しくはないとしています: Microsoft Access Exploits Nothing New (McAfee blog, 2008.03.06)
3/12 公開予定は 4 つ。全てが「緊急」、かつ全てが Office 関連。
》 ISEPAイベント 2008「公開討論! これからのセキュリティ人財育成」 〜セキュリティのキャリアパスを考える〜 〜セキュリティの“スター”とは〜 (JNSA)。2008.03.26、東京都渋谷区、無料。 セキュリティのヒトデ、ではない模様。
》 住基ネット:最高裁が「合憲」初判断 住民側の敗訴確定 (毎日, 3/6)
》 「メール内容ばらす」同級生男子を恐喝した女子ら逮捕 (asahi.com, 3/6)。「中学2年の女子生徒ら14歳の男女4人を恐喝などの疑いで逮捕」
》 クリアスウィフト、国内人事担当者のセキュリティポリシーに関する意識調査を実施 (Enterprise Watch, 3/5)
》 三菱、花粉の侵入を防ぐ強制給気ユニット 〜手を汚さずフィルター交換が可能 (家電 Watch, 3/5)
》 「一億総犯罪者」について (栗原潔のテクノロジー時評Ver2, 3/4)
》 日立、文書の長期保管に特化したストレージの機能強化版を発表 (computerworld, 3/5)、コンテンツアーカイブ向けストレージアプライアンス 「Hitachi Content Archive Platform」のシステム管理機能、 セキュリティ機能を強化 - 併せてデータアーカイブソリューションのメニューを強化 - (日立, 3/5)。 Hitachi Content Archive Platform (日立) ですか。
》 Targeted Attack in Mexico, Part 2: Yet Another Drive-By Pharming (trendmicro blog, 3/5)
》 Hundreds of Phish Kits on the Loose (trendmicro blog, 3/5)。たくさんあるんですね。
》 電気暖房器具「デスクヒータ」事故防止のための『社告』実施について (Panasonic, 3/5)
》 Web からの脅威を攻略せよ: セッション管理編 (日経 IT Pro)
》 Internet Explorer 8 Beta1 公開! (ウィンドウズ開発統括部, 3/6)、 Internet Explorer 8 Beta 1 for Developers Now Available (IEblog, 3/5)、 IE8 Beta Feedback (IEblog, 3/5)
》 有害サイト:閲覧を「18歳以上会員」に規制…自民法案 (毎日, 3/6)。関連: 違法かどうか明確でなくてもサイト開設者に閲覧制限措置を義務付け(罰則付)? (1/4)
》 ベネズエラ、コロンビア国境に戦車部隊を展開 (読売, 3/6)、 国境に軍数千人を展開 ベネズエラ、高まる緊張 (産経MSN, 3/6)。
》 新型インフルワクチン 与党議員「希望の全国民に」要望 (asahi.com, 3/5)
》 NGNとIPv6インターネットは併用できないって知ってました? (日経 IT Pro, 2/27)
》 rtpbreak 1.3 だそうです。
》 高周波の音で若者たちを撃退する装置『Mosquito』が議論に (WIRED VISION, 2/26)
》 Linuxのシステム・コール「vmsplice」のぜい弱性を分析 (日経 IT Pro, 3/6)
》 OPEC:原油生産量の据え置きを決定 (毎日, 3/6)。OPEC な人は誰も困らないしねえ。
》 掘り出しニュース:1万円札にホログラムない 諫早のすし店で偽札騒動 (毎日, 3/5)
》 「松下は取引先企業2365社のセキュリティ・レベルを格付けした」 (日経 IT Pro, 3/5)
》 謎に包まれる『未知普請』、国交省関係者は黙秘を続ける (保坂展人のどこどこ日記, 3/5)
》 リアルタイムスキャンが可能な無料アンチウイルスソフト「Moon Secure Antivirus」 (gigazine, 3/5)。無料……というよりは「フリーの」ですね。ライセンスは GNU GPL だし。 Moon Secure Antivirus (sourceforge.net)
関連:
mixi利用規約第18条の条文修正に関するお知らせ 2008.03.05
mixi運営事務局です。
利用規約の改定に関して引き続き検討をおこない、以下の件につきまして対応を進めさせていただくこととなりましたのでお知らせいたします。
・mixi利用規約第18条の条文修正
−ユーザーのみなさまに著作権があることの明記などについて検討しております。
・Q&Aの作成、公開
−寄せられたお問い合わせ、用語などについてのQ&Aを検討中です。
早急に対応を進めてさせていただき、進捗につきましては本ページにて随時お知らせいたします。
以上、どうぞよろしくお願いいたします。
いちばんの問題は、mixi 自身が、自分達が何によって成功したのかを忘れていることのような気がする。
》 Joint Workshop on Security 2008, Tokyo。 2008.03.25〜26、東京都千代田区、無料 (要申込)。 定員たったの 150 名なので、興味のある人は急げ。
関連: 今度のFIRST TC は東京開催だ! (日本のセキュリティチーム, 3/5)
》
第1回せきゅぱこ(仮)。
2008.03.22、北海道函館市、無料? 一般1000円。wakatono さん情報ありがとうございます。関連
》 2月のスパム・メール、85%は6つのボットネットが配信 (computerworld, 3/4)
》 スピアなんとか (武田圭史, 3/4)。使っていいのは「spear phishing」「targeted attack」の 2 種類だけ。
》 黒船の大砲がソフト業界に構造改革を迫る (日経 IT Pro, 3/5)
》 夏時間でエネルギー消費が増えた (Okumura's Blog, 3/4)。増える方が自然なような。
》 「裁判員裁判」と「死刑判決の特例」の議論を始めた (保坂展人のどこどこ日記, 3/4)
》 「USBメモリー経由のウイルス」が猛威、トレンドマイクロが注意喚起 (日経 IT Pro, 3/4)
》 ノキアがファイアウォール機器の新機種,10GbE向けにハードウエア性能を向上 (日経 IT Pro, 3/4)
》 Crimeware goes Mobile (McAfee blog, 3/4)
》 黄砂の甚大な被害と、「国家機密」としてデータ共有を拒否する中国 (WIRED VISION, 3/5)。一方で軍事力強化が激しすぎるしなあ。 自国民の生活を守りなさいよ……。
……まぁ、US 国防省の発表については、それはそれで疑う必要があるのだが。
》 「偽ソフト」で10億円を稼いだ人物、韓国で起訴される (日経 IT Pro, 3/5)。元ねたである Sophos の発表には、逮捕された人物 (Lee Shin-ja)、会社名 (Media Port)、当該ニセソフト名 (Dr. Virus) が掲載されているのだが、日経 IT Pro の記事には何もない。
》 インターポール事務総長「初のサイバー訓練センターを韓国に」 (中央日報, 3/4)
》 日立の薄型テレビ,特定番組の視聴でリモコン操作が不能になる症状が判明 (日経 Tech On, 3/3)。ロバストネスが足りない感じ。
》 「CC紹介講座」資料 (IPA, 3/5)
》 ZDNet Asia Compromised? (F-Secure blog, 3/5)。さっそく「iframe site:zdnetasia.com」でぐぐってみると、 IFRAME%20src=//72.232.39.252/ とか書かれたリンクが。さらにたどると http://xpantivirus2008.com/ というアヤシゲなサイトにつながり、 XPantivirus2008_v880181.exe というアヤシゲなファイルのダウンロードに。 Sophos はこれを Mal/HckPk-A と判定。VirusTotal の結果。
》 「私はウイルス」と名乗るマルウェア、詐欺的ソフトと連動の新たな手口? (ITmedia, 3/4)、"MonaRonaDona" - The Pure Social Engineering Scam (Symantec blog, 3/4)、 The Art, Drama, and Sophistication of MonaRonaDona (trendmicro blog, 3/6)
FC2.com 内の複数の blog ページにおいてテンプレートが改ざんされ、マルウェアサイトへの iframe タグが挿入されている模様。FC2.com は、各 blog ページの管理画面パスワードを攻略されたのではないか、としているようだ。推測されやすいパスワードをつけていたページがやられている模様。
リネージュ資料室さん情報ありがとうございます。
ヤラレたのでパスワードを変更したが、それでもまたヤラレたという事例。リネージュ資料室さん情報ありがとうございます。
Firewire から物理メモリにアクセスして Windows のパスワードを盗む話は 2006 年に発表されたのだが、いつまでたっても直らないし、そのときにつくったツールを公開した、という話。
日本語情報出ました。複合機だけでなく、一部のレーザープリンタについても該当するそうです。
Java Platform, Standard Edition (Java SE) の新版が登場。ダウンロード。
Document ID 233321 〜 233327、合計 7 つの欠陥が修正されているという。 (各文書はまだ公開されていないみたい)
上記文書が公開されました。
JVN#04032535 - Sun JRE (Java Runtime Environment) の XSLT 処理における脆弱性。 233323 - Multiple Security Vulnerabilities in Java Web Start May Allow an Untrusted Application to Elevate Privileges (Sun) の件です。
》 弁護人も泣いた!奇跡の完全無罪 グロービートジャパン・平和神軍事件で判決 (オーマイニュース, 3/4)
簡単にいうと「今までの判例基準では有罪であるが、社会情勢が変わったことによる新しい判断基準を適用するため無罪」。すなわち、
「インターネットの表現には、インターネット用の判断基準を適用すべき」
ということである。
(中略)
もし良かったら、インターネットの自由にとって歴史的な判決を確定するために、東京地検に「控訴を踏みとどまるよう」意見を申し出て欲しい。東京地検は、一般からの意見も受け付けており、その番号は、 03-3592-5611だ。もちろん、私も意見を申し出るつもりだ。
》 第1回Admintech.jp&ばりかた合同勉強会のお知らせ。 2008.03.29、福岡県福岡市、1000円。花田さん情報ありがとうございます。
》 [Clamav-announce] announcing ClamAV 0.93rc1 (Clamav.net, 3/4)
》 「事業拠点」の定義は? (まるちゃんの情報セキュリティ気まぐれ日記, 2/28)
》 首都直下型地震が起きても通信を守れ--NTT東、ドコモが陸上自衛隊と共同訓練 (CNET, 2/29)
》 韓国科学技術研究院、論文捏造で金泰国教授を自宅待機処分 (technobahn, 3/3)
》 米国家偵察局のスパイ衛星打ち上げが延期、衛星破壊に伴うデブリの影響 (technobahn, 2/29)
》 The Orkut Worm - Digging Deeper (Symantec blog, 2/28)
》 内部統制が迫る多重請負の見直し IBMの“再々委託”全面禁止で揺れる国内ベンダー (日経 IT Pro, 2/19)
従来も日本IBMでは、再々委託は原則禁止だった。だが今後は、「一切の例外を認めない」とするほか、3次請負を利用しないことを契約書に明記しない限り、パートナー企業契約を結ばないとする。
》 「ウェブサイト運営者のための脆弱性対応ガイド」などを公開 (IPA, 2/28)
》 Abusing Image File Execution Options (SANS ISC, 2/28)。 Image File Execution Options をデバッグするための機能を利用して感染しようとするマルウェアの話。関連: Inside 'Image File Execution Options' debugging (greggm's WebLog, 2005.12.21)
》 29A Labs has left the building (PandaLabs blog, 2/27)。店じまい。 関連: 29A Grows Out of Virus Writing (trendmicro blog, 3/9)
》 Googleツールバーによる「404エラー・ページ」の乗っ取り (日経 IT Pro, 3/4)
》 【追跡・イージス艦事故】 当直航海長自筆の「衝突メモ」が突然現れた (JANJAN, 3/1)
》 Crimeware server and the international man of mystery (Finjan blog, 2/28)。 Finjan,盗まれたFTPアカウント情報8700件以上を記録したデータベースを発見 (日経 IT Pro, 2/28) のつづきみたい。
》 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の一部改正について (まっちゃだいふくの日記, 3/4)。「委託先における委託した個人データの取扱状況を確認するためのチェックリスト等」という文言が明記されたという話。 要は、委託先の状況をきちんと把握・確認しなさいよということでしょう。
》 米国:国家機密のベールで覆われた引き渡し (JANJAN, 3/3)。拉致国家 USA。
》 消費税論議を吹き飛ばす、相続税改正の大きなパワー (日経 BP, 3/3)
》 「ネットバンキング」狙った犯罪、認知件数113件のうち検挙はたった"4件" (マイコミジャーナル, 3/3)。 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(平成19年) (警察庁, 2/29) の話。 Benjamin さん情報ありがとうございます。
ネットバンキングに関しては、検挙件数4件に対し、事件の発生を警察庁が認識した「認知件数」は前年比74件増の113件となっており、認知件数に対する検挙件数の割合である検挙率は3.5%と、極めて低くなっていることが分かる。
》 びっくり!! 君の山手線もまっ赤っか! レッドベアーのしわざか?! (違)
どこかに車内の様子の写真はないんですかね。
》 【緊急寄稿】米国政府の情報アクセシビリティ調達基準、4月に原案公表へ 考え方に大きな変化、製品別分類から機能別分類へ (日経 IT Pro, 2/26)
》 中国産問題、食品の次は医薬品 ニセモノのネット販売に注意を (日経 BP, 2/25)。それ順序が逆だし。話題になったのは医薬品の方が先じゃん。
》 組織行動の「まずい!!」学—どうして失敗が繰り返されるのか (祥伝社新書) という本があるのですか。
》 MBR Rootkit, A New Breed of Malware (F-Secure blog, 3/3)、 マスター・ブート・レコード(MBR)を狙うルートキットが再び活発に (日経 IT Pro, 2/26)、 昨年12月に蔓延したrootkitはきわめて悪質——F-Secureが注意を呼びかけ その名は「Mebroot」。検出困難で「打つ手立てなし」 (computerworld, 3/5)
RubyのWEBrickに脆弱性、非公開ファイルへのアクセスが可能に (ITmedia, 2008.03.04)。1.8.5-p115 / 1.8.6-p114 で修正されている。また 1.9 用の patch がある。 関連:
xine-lib 話
[ANNOUNCE] CVE-2008-0595 D-Bus Security Releases - D-Bus 1.0.3 and D-Bus 1.1.20。 CVE-2008-0595
New MS Access exploit (PandaLabs blog, 2008.03.03)。Panda は「Jet Engine (msjet40.dll) の新しい欠陥だ」と主張しています。
SYM08-007 - Symantec’s Backup Exec for Windows Server: Multiple Vulnerabilities in Scheduler (Symantec, 2008.02.28)。 Symantec Backup Exec for Windows Server 11d / 12.0 に付属の ActiveX コントロールの欠陥。PoC。patch あり。 CVE-2007-6016 CVE-2007-6017
CESA-2008-001 - rev 1 : Stack-based buffer overflow in Ghostscript .seticcspace operator (beasts.org)。Ghostscript 8.61 以前の zicc.c の zseticcspace() 関数に stack buffer overflow する欠陥があり、 攻略 PostScript ファイルによって任意のコードを実行できる。PoC が付属。
OpenBSD 方面: CVE-2008-1058 CVE-2008-1057。 OpenBSD 4.2 Errata では RELIABILITY FIX に分類されている (007, 008)
JVN#53757727 - Nagios におけるクロスサイトスクリプティングの脆弱性 (JVN, 2008.02.29)。Nagios 3.x だけの話なのか、Nagios 2.x にも関係する話なのか、いまいちよくわからない。とりあえず Nagios 3.0 RC2 では直っている模様。
[SA29138] ICQ Message Processing Format String Vulnerability。ICQ 6.x 話。patch はまだない模様。
CVE-2008-0778。QuickTime 7.4.1 に付属する QTPlugin.ocx の ActiveX コントロールには buffer overflow する欠陥が複数あるという話。PoC あり。patch はまだない。
PEAP: Pwned Extensible Authentication Protocol (ShmooCon 2008)。セキュアなプロトコルであっても正しく使わないと突破される話。
New MS Access exploit (PandaLabs blog, 2008.03.03) の件、McAfee は何も新しくはないとしています: Microsoft Access Exploits Nothing New (McAfee blog, 2008.03.06)
Can I own your wireless network? の日本語版: その無線ネットワークは本物か? (日経 IT Pro, 2008.03.13)
mixi利用規約の「第18条 日記等の情報の使用許諾等」と「附則」の 2. を参照。「日記等」なので日記だけじゃないし、「本利用規約の施行前にユーザーによって行われた行為についても本利用規約が適用されます」なので、mixi にあるものは全部対象となる。
mixi 終ったな……。画面が白くなって以来、使用頻度が下がっていたし、今が辞めどきなのだろう。まずは書きこみを削除してまわらないと……。
関連:
mixi利用規約第18条の条文修正に関するお知らせ 2008.03.05
mixi運営事務局です。
利用規約の改定に関して引き続き検討をおこない、以下の件につきまして対応を進めさせていただくこととなりましたのでお知らせいたします。
・mixi利用規約第18条の条文修正
−ユーザーのみなさまに著作権があることの明記などについて検討しております。
・Q&Aの作成、公開
−寄せられたお問い合わせ、用語などについてのQ&Aを検討中です。
早急に対応を進めてさせていただき、進捗につきましては本ページにて随時お知らせいたします。
以上、どうぞよろしくお願いいたします。
いちばんの問題は、mixi 自身が、自分達が何によって成功したのかを忘れていることのような気がする。
結果としては、「変な条項は変更された」ものの、けっこうな退会者を出したという話があるようで。
ミクシィの利用規約改定問題が示すCGM時代の権利処理のあり方 (日経 BP, 2008.04.03)
ウイルスキラーこと Rising AntiVirus のオンラインスキャンに 0-day な欠陥が発見された模様です。
》 OSC2008/Tokyo Spring の様子の Video。匿名希望さん情報ありがとうございます。
関連: OSC2008/Tokyo Spring 直前の原田さんのご様子。こ、これが逆境だ……
思い出した言葉:「不屈とは折れた事がないという意味ではない! 折れてなお立ちあがる者を言うのだ!!」(銃夢 Last Order Vol.11, p27)
》 <書籍紹介>「サブプライム問題とは何かーーアメリカ帝国の終焉」(春山昇華。宝島社新書) (情報紙「ストレイ・ドッグ」(山岡俊介取材メモ), 3/3)
本書は、サブプライムローンはそんなレベルではなく、そもそも自宅を持てない者に、いいことばかりいって貸し付ける「悪徳サラ金みたいなもの」とその本質を突いた取り上げ方をしている。
》 中国産フグを産地偽装 大阪の水産卸会社 (中日, 3/3)。「うおいち」
問題となったドアの穴は長方形で長さ72センチ、幅22センチだが、小桜さんは胸囲101センチ、胸の厚さが29センチ。高裁は模型による再現実験を実施した上で「くぐり抜けることは困難」と指摘。着ていた服に傷がなく両足の裏に打撲がないことも挙げ「男性らの証言には相当の疑問点がある」と結論付けた。
目撃者の証言が信用できないことや、ドアの穴に残るはずの衣服の繊維について検察側が立証しないのは不自然なことなどを指摘して、「小桜さんがドアを壊したとするには疑いが残る」と結論づけた。
》 インターネット検索エンジンから流出する機密情報 (トレンドマイクロ セキュリティ blog, 3/3)
》 見えない“雲の向こう側”−Amazon S3システム障害の教訓 (Enterprise Watch, 3/3)
》 Windows Server 2008の検疫システム「NAP」を見る【第二回】 NAPを試してみる (@IT, 2/29)
》 NICT、スピア型サイバー攻撃判定システムの実証実験を開始 (Internet Watch, 3/3)。うーん……ハッシュ値でいいんですか?
》 研究者、新たなクレジットカード偽造リスクを指摘 (slashdot.jp, 3/3)
》 野宿テント強制撤去と住民登録削除から1年(3) マスコミ報道受け3千人の住民登録を一括削除 (JANJAN, 3/3)。政府の味方、読売新聞の「戦果」。
》 パキスタン大地震 報告会で知った「今も100万人がテントで暮らす」現実 (JANJAN, 3/3)
》 不正アクセスの年間検挙数が1400件、大半が「フィッシングを利用」 (日経 IT Pro, 3/3)、フィッシングによる不正アクセスが急増、総務省などが2007年の状況を公表 (Internet Watch, 2/29)。詳細:
検挙件数は倍になったのだけど、検挙事件数は 2 つ増えただけ、検挙人数は逆に 4 人減っているんですよね。
》 企業の3割が「ネットの不正利用で従業員を解雇」、米協会の調査 (日経 IT Pro, 3/3)
》 Storm reactivating (F-Secure blog, 3/3)
》 「著作権は混迷」「ダメと言ってもネットは止まらない」——東大中山教授 (ITmedia, 3/3)
これまで著作権法は、ほかの法律分野と隔絶した、自己完結的な法律だったという。「想定している価値が他の法律とどう関係するかの認識がほとんどなく、関係者は自己の利益のために汲々(きゅうきゅう)とし、全体を見ない傾向があった。だが、今や政府レベルで、国益的な判断が必要だ」
(中略)
「従来の著作権法の枠組みは物権法的な構成になっているが、現代の著作物は、書籍やCDといった有体物に付着させなくても、データという無体物のままネット上を流通させられる。物権法的な構成のままでは、情報の利用が進まない」
》 [WSJ] Vistaシステム要件引き下げはIntelのため——内部メールで明らかに (ITmedia, 2/29)、 Vista Capable訴訟: 敵は内にあり? (slashdot.jp, 3/3)
京都大学 高等教育研究開発推進機構にはこんな情報も。
》 正直、テレビはもうダメかもしれん (ITmedia, 3/3)。だめでしょう、どう見ても。 あまりにも質の低下が激しすぎる。まずはバカタレントと「司会者」という名の無駄タレントを全部消せ。
》 SFLCがFOSSプロジェクトのための法律ガイドをリリース (Open Tech Press, 3/3)。SFLC = Software Freedom Law Center。「たった 45 ページ」だそうで。
》 Stop error message after you enable the Disk Integrity Checking feature of Driver Verifier in a Windows Server 2003 cluster environment: "Stop 0x000000C4" (Microsoft KB949012)。原因はこちら:
The Disk Integrity Checking feature of Driver Verifier is not designed for server clusters.
》 HowTo: Fix Corrupted Windows Registry from Ubuntu partition (ubuntuforums.org, 2007.11.27)。Ubuntu パーティションから Windows XP のレジストリを修復する方法。
》 日本列島、広範囲で黄砂 今年初、交通機関に注意 (東京新聞, 3/3)。これもチャイナリスクだなあ。
》 中国から「夜逃げ」も 韓国企業、3割が撤退検討 (asahi.com, 3/3)
》 捕鯨船妨害:シー・シェパードが薬品瓶 日新丸の3人負傷 (毎日, 3/3)。環境テロ団体がまたやった模様。
》 会計士がインサイダー取引 監査情報利用 新日本元職員 (asahi.com, 3/3)、 インサイダー:監査業界、不信増幅 関係者衝撃広がる (毎日, 3/3)
》 国立大病院、81億円未収 法的手段使い回収も (asahi.com, 3/3)
》 円急騰、一時102円台 東証、550円超の下落 (asahi.com, 3/3)
》 Intel、高速駆動で超低消費電力の超小型モバイル向けCPU「Atom」を発表 (gigazine, 3/3)、 ウィルコム、Windows Vistaを搭載した高機能で低消費電力なモバイル端末を開発 (gigazine, 3/3)
》 「フリーオ」完売したものの予定販売数を700個以上オーバー、次回販売は3週間後 (gigazine, 2/29)
》 デポジット:ペットボトルに上乗せ再使用へ 環境省検討 (毎日, 2/29)
》 ロス市警捜査官、三浦元社長のブログを3年間監視 (読売, 2/29)。執念深いのか、暇なのか。
》 弁護士いらず <改定新版> 本人訴訟必勝マニュアル (hanmoto.com)。改定新版が出ていたんですね。
》 新交通システム、設計で「ハブ」摩耗想定せず…破断の恐れ (読売, 2/29)
》 イージス艦情報漏えい:事情聴取後に海自1尉が行方不明 (毎日, 2/29)
》 プロバイダの4割がヘビーユーザーの帯域を制限していることが明らかに (gigazine, 3/3)
》 RIAAが得た和解金はどこへ? (slashdot.jp, 3/2)。しょせんそんなもの。
》 経済産業省 確定 個人情報保護法についての経済産業分野を対象とするガイドライン (まるちゃんの情報セキュリティ気まぐれ日記, 3/3)
》 ハウツー:/procディレクトリを活用する (Open Tech Press, 3/3)
》 www.postgresql.jp がクラックされていたそうで。おおかわさん情報ありがとうございます。
》 警察による“ねつ造”疑惑 テレメンタリー2008「証拠が嘘をつく〜高知白バイ衝突死」 (2ch.net)、テレメンタリー 2008 (テレビ朝日)。局によって放送時間が違う模様。 テレビ朝日は月曜深夜。 ABC は土曜深夜なのね……見逃した orz。 杉原さん情報ありがとうございます。
》 @Nifty で 2008.02.25〜2008.02.27 にメールトラブル。水野さん情報ありがとうございます。
》 SaaS/ASPのセキュリティ(1)総務省報告書が指摘するサービス提供者の問題点 (北岡弘章の「知っておきたいIT法律入門」, 2/29)
》 米Apple:「Time Capsule」を出荷 バックアップ装置 (Open Tech Press, 2/29)。この命名センスがすごいよねえ。 実際のタイムカプセルの場合、いざ掘り起こしてみたら見つからないなんて事も多いのですが、これの場合はどうですかね。
》 Judge Dissolves Wikileaks.org Injunction - First Amendment Rights of Internet Users Upheld in Today's Hearing (EFF, 2/29)。Wikileaks.org ドメイン名停止命令が撤回されたそうで。 というわけで、http://wikileaks.org にアクセスできるようになっています。
》 監査法人の内部統制の重要な欠陥の事例集??? (まるちゃんの情報セキュリティ気まぐれ日記, 3/1)
》 石破大臣の答弁は支離滅裂、3機のヘリの謎を語れず (保坂展人のどこどこ日記, 3/1)
関連: イージス艦事故:防衛相自ら「説明は一本であるべきだ」 (毎日, 3/3)。何を他人事のように……
》 「グリーンIT元年」になすべきことは何か——経産省と東電が講演 Green IT Conferenceで語られた、企業が押さえておくべき現状と課題 (computerworld, 2/29)
》 Googleと司法省が不適切な“接触”?——人権擁護団体が同省を提訴 Googleに入社した元同省幹部の情報提供を要求 (computerworld, 2/29)
》 インターネット・ホットラインセンター通報後の一例 (崎山伸夫のBlog, 3/1)
》 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと (高木浩光@自宅の日記, 2/29)
キヤノンの複合機 imageRUNNER / Color imageRUNNER / imagePRESS に付属する FTP サーバに、FTP バウンス攻撃を許す欠陥があるという話。 patch はまだない。回避方法が記載されている。 CVE-2008-0303
日本語情報出ました。複合機だけでなく、一部のレーザープリンタについても該当するそうです。
JVN#10056705 - 複数のキヤノン製デジタル複合機、およびレーザービームプリンターにおいて不正なポートスキャンの中継が行われる脆弱性が更新されている。
2008/08/25
キヤノン株式会社の JVN#10056705への対応が更新されました。
がしかし、デジタル複合機 Color imageRUNNER/imageRUNNER/imagePRESSシリーズに搭載されたFTPサーバーの脆弱性について (キヤノン, 2008.03.05) も、 レーザービームプリンターに搭載されたFTPサーバーの脆弱性について (キヤノン, 2008.03.05) も、どこが更新されたのかさっぱりわからない。Last Modified も変わってないみたいだし。どうなってるの?
…… JVN 側のミスだったそうで、現在は更新記録そのものが削除されています。安藤さん情報ありがとうございます。
Wireshark 0.6.0 〜 0.99.7 に複数の欠陥。
SCTP 処理部に欠陥があり、攻略パケットによって DoS 攻撃を受ける。 CVE-2008-1070
SNMP 処理部に欠陥があり、攻略パケットによって DoS 攻撃を受ける。 CVE-2008-1071
TFTP 処理部に欠陥があり、攻略パケットによって DoS 攻撃を受ける。Ubuntu 7.10 上で問題が発現。 CVE-2008-1072
Wireshark 0.9.8 で修正されている。
Benjamin さん、水野さん情報ありがとうございます。
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について
